Conector Netskope Web Transactions Data Connector (usando o Azure Functions) conector para Microsoft Sentinel
O conector de dados Netskope Web Transactions fornece a funcionalidade de uma imagem docker para extrair os dados Netskope Web Transactions do google pubsublite, processar os dados e ingerir os dados processados para o Log Analytics. Como parte desse conector de dados, duas tabelas serão formadas no Log Analytics, uma para dados de transações da Web e outra para erros encontrados durante a execução.
Para obter mais detalhes relacionados a Transações da Web, consulte a documentação abaixo: Documentação de Transações da Web Netskope
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | NetskopeWebtxData_CL NetskopeWebtxErrors_CL |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Netskope |
Exemplos de consulta
Dados de transações da Web Netskope
NetskopeWebtxData_CL
| sort by TimeGenerated desc
Erros do Netskope Web Transactions Data Connector
NetskopeWebtxErrors_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Netskope Web Transactions Data Connector (usando o Azure Functions), certifique-se de ter:
- Assinatura do Azure: a Assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- Permissões Microsoft.Compute: são necessárias permissões de leitura e gravação para VMs do Azure. Consulte a documentação para saber mais sobre as VMs do Azure.
- Credenciais e permissões TransactionEvents: É necessário o Locatário Netskope e o Token da API Netskope. Consulte a documentação para saber mais sobre Eventos de Transação.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
Instruções de instalação do fornecedor
Nota
Esse conector fornece a funcionalidade de ingerir dados de Transações da Web Netskope usando uma imagem docker a ser implantada em uma máquina virtual (VM do Azure/VM no local). Verifique a página de preços da VM do Azure para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Passos para criar/obter credenciais para a conta Netskope
Siga as etapas nesta seção para criar/obter Netskope Hostname e Netskope API Token:
- Inicie sessão no seu Inquilino Netskope e vá ao menu Definições na barra de navegação esquerda.
- Clique em Ferramentas e, em seguida, em REST API v2
- Agora, clique no novo botão de token. Em seguida, ele pedirá o nome do token, a duração da expiração e os pontos de extremidade dos quais você deseja buscar dados.
- Feito isso, clique no botão salvar, o token será gerado. Copie o token e salve em um local seguro para uso posterior.
**PASSO 2 - Escolha uma das duas opções de implementação seguintes para implementar o conector de dados baseado no docker para ingerir dados de Transações Web Netskope **
IMPORTANTE: Antes de implantar o conector de dados Netskope, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada do seguinte) prontamente disponíveis, bem como a(s) chave(s) de autorização da API Netskope [Verifique se o token tem permissões para eventos de transação].
Opção 1 - Usando o modelo do Azure Resource Manager (ARM) para implantar VM [Recomendado]
Usando o modelo ARM, implante uma VM do Azure, instale os pré-requisitos e inicie a execução.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira as informações abaixo:
- Nome da imagem do Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions)
- Netskope HostName
- Netskope API Token
- Seek Timestamp (O carimbo de data/hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado vazio)
- ID da área de trabalho
- Chave do espaço de trabalho
- Contagem de tentativas de backoff (A contagem de tentativas para erros relacionados ao token antes de reiniciar a execução.)
- Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
- Tempo limite ocioso (número de segundos para aguardar os dados de transações da Web antes de reiniciar a execução)
- Nome da VM
- Tipo de Autenticação
- Palavra-passe ou chave de administrador
- Prefixo de rótulo DNS
- Versão do SO Ubuntu
- Location
- Tamanho da VM
- Nome da sub-rede
- Nome do Grupo de Segurança de Rede
- Tipo de Segurança
Clique em Rever+Criar.
Em seguida, após a validação, clique em Criar para implantar.
Opção 2 - Implantação manual em máquina virtual criada anteriormente
Use as instruções passo a passo a seguir para implantar o conector de dados baseado no docker manualmente em uma máquina virtual criada anteriormente.
1. Instale o docker e puxe a imagem do docker
NOTA: Certifique-se de que a VM é baseada em linux (de preferência Ubuntu).
- Em primeiro lugar, você precisará SSH na máquina virtual.
- Agora instale o mecanismo docker.
- Agora puxe a imagem do docker do hub do docker usando o comando: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.
- Agora, para executar a imagem do docker, use o comando:
sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
. Você pode substituirmgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
pelo id da imagem. Aquidocker_persistent_volume
está o nome da pasta que seria criada na vm na qual os arquivos serão armazenados.
2. Configurar os parâmetros
- Uma vez que a imagem docker está em execução, ele pedirá os parâmetros necessários.
- Adicione cada uma das seguintes configurações do aplicativo individualmente, com seus respetivos valores (diferencia maiúsculas de minúsculas):
- Netskope HostName
- Netskope API Token
- Seek Timestamp (O carimbo de data/hora da época em que você deseja buscar o ponteiro pubsublite pode ser deixado vazio)
- ID da área de trabalho
- Chave do espaço de trabalho
- Contagem de tentativas de backoff (A contagem de tentativas para erros relacionados ao token antes de reiniciar a execução.)
- Backoff Sleep Time (Número de segundos para dormir antes de tentar novamente)
- Tempo limite ocioso (número de segundos para aguardar os dados de transações da Web antes de reiniciar a execução)
- Agora a execução foi iniciada, mas está no modo interativo, de modo que o shell não pode ser interrompido. Para executá-lo como um processo em segundo plano, pare a execução atual pressionando Ctrl+C e use o comando:
sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions
3. Pare o contêiner do docker
- Use o comando
sudo docker container ps
para listar os contêineres docker em execução. Anote o ID do contêiner. - Agora pare o contêiner usando o comando:
sudo docker stop *<*container-id*>*
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.