Partilhar via


Conector Netskope Web Transactions Data Connector (usando o Azure Functions) conector para Microsoft Sentinel

O conector de dados Netskope Web Transactions fornece a funcionalidade de uma imagem docker para extrair os dados Netskope Web Transactions do google pubsublite, processar os dados e ingerir os dados processados para o Log Analytics. Como parte desse conector de dados, duas tabelas serão formadas no Log Analytics, uma para dados de transações da Web e outra para erros encontrados durante a execução.

Para obter mais detalhes relacionados a Transações da Web, consulte a documentação abaixo: Documentação de Transações da Web Netskope

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics NetskopeWebtxData_CL
NetskopeWebtxErrors_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Netskope

Exemplos de consulta

Dados de transações da Web Netskope

NetskopeWebtxData_CL

| sort by TimeGenerated desc

Erros do Netskope Web Transactions Data Connector

NetskopeWebtxErrors_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Netskope Web Transactions Data Connector (usando o Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Nota

Esse conector fornece a funcionalidade de ingerir dados de Transações da Web Netskope usando uma imagem docker a ser implantada em uma máquina virtual (VM do Azure/VM no local). Verifique a página de preços da VM do Azure para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos para criar/obter credenciais para a conta Netskope

Siga as etapas nesta seção para criar/obter Netskope Hostname e Netskope API Token:

  1. Inicie sessão no seu Inquilino Netskope e vá ao menu Definições na barra de navegação esquerda.
  2. Clique em Ferramentas e, em seguida, em REST API v2
  3. Agora, clique no novo botão de token. Em seguida, ele pedirá o nome do token, a duração da expiração e os pontos de extremidade dos quais você deseja buscar dados.
  4. Feito isso, clique no botão salvar, o token será gerado. Copie o token e salve em um local seguro para uso posterior.

**PASSO 2 - Escolha uma das duas opções de implementação seguintes para implementar o conector de dados baseado no docker para ingerir dados de Transações Web Netskope **

IMPORTANTE: Antes de implantar o conector de dados Netskope, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada do seguinte) prontamente disponíveis, bem como a(s) chave(s) de autorização da API Netskope [Verifique se o token tem permissões para eventos de transação].

Opção 1 - Usando o modelo do Azure Resource Manager (ARM) para implantar VM [Recomendado]

Usando o modelo ARM, implante uma VM do Azure, instale os pré-requisitos e inicie a execução.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira as informações abaixo:

    • Nome da imagem do Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
    • Netskope HostName
    • Netskope API Token
    • Seek Timestamp (O carimbo de data/hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado vazio)
    • ID da área de trabalho
    • Chave do espaço de trabalho
    • Contagem de tentativas de backoff (A contagem de tentativas para erros relacionados ao token antes de reiniciar a execução.)
    • Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
    • Tempo limite ocioso (número de segundos para aguardar os dados de transações da Web antes de reiniciar a execução)
    • Nome da VM
    • Tipo de Autenticação
    • Palavra-passe ou chave de administrador
    • Prefixo de rótulo DNS
    • Versão do SO Ubuntu
    • Location
    • Tamanho da VM
    • Nome da sub-rede
    • Nome do Grupo de Segurança de Rede
    • Tipo de Segurança
  4. Clique em Rever+Criar.

  5. Em seguida, após a validação, clique em Criar para implantar.

Opção 2 - Implantação manual em máquina virtual criada anteriormente

Use as instruções passo a passo a seguir para implantar o conector de dados baseado no docker manualmente em uma máquina virtual criada anteriormente.

1. Instale o docker e puxe a imagem do docker

NOTA: Certifique-se de que a VM é baseada em linux (de preferência Ubuntu).

  1. Em primeiro lugar, você precisará SSH na máquina virtual.
  2. Agora instale o mecanismo docker.
  3. Agora puxe a imagem do docker do hub do docker usando o comando: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
  4. Agora, para executar a imagem do docker, use o comando: sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Você pode substituir mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions pelo id da imagem. Aqui docker_persistent_volume está o nome da pasta que seria criada na vm na qual os arquivos serão armazenados.

2. Configurar os parâmetros

  1. Uma vez que a imagem docker está em execução, ele pedirá os parâmetros necessários.
  2. Adicione cada uma das seguintes configurações do aplicativo individualmente, com seus respetivos valores (diferencia maiúsculas de minúsculas):
    • Netskope HostName
    • Netskope API Token
    • Seek Timestamp (O carimbo de data/hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado vazio)
    • ID da área de trabalho
    • Chave do espaço de trabalho
    • Contagem de tentativas de backoff (A contagem de tentativas para erros relacionados ao token antes de reiniciar a execução.)
    • Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
    • Tempo limite ocioso (número de segundos para aguardar os dados de transações da Web antes de reiniciar a execução)
  3. Agora a execução foi iniciada, mas está no modo interativo, de modo que o shell não pode ser interrompido. Para executá-lo como um processo em segundo plano, pare a execução atual pressionando Ctrl+C e use o comando: sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions

3. Pare o contêiner do docker

  1. Use o comando sudo docker container ps para listar os contêineres docker em execução. Anote o ID do contêiner.
  2. Agora pare o contêiner usando o comando: sudo docker stop *<*container-id*>*

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.