Netskope (使用 Azure Functions) 連接器進行 Microsoft Sentinel
Netskope Cloud Security Platform 連接器提供將 Netskope 記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您查看 Microsoft Sentinel 中的 Netskope 平臺事件和警示,以改善監視和調查功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 應用程式設定 | apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (optional) |
| Azure 函數應用程式程式碼 | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Netskope/Data%20Connectors/Netskope/AzureFunctionNetskope/run.ps1 |
| 記錄分析資料表 | Netskope_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Netskope |
查詢範例
前10位使用者
Netskope
| summarize count() by SrcUserName
| top 10 by count_
前10個警示
Netskope
| where isnotempty(AlertName)
| summarize count() by AlertName
| top 10 by count_
必要條件
若要與 Netskope 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- Netskope API 令牌:需要 Netskope API 令牌。 請參閱檔以深入瞭解 Netskope API。 注意: 需要 Netskope 帳戶
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Netskope,將記錄提取到 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資訊,請參閱 Azure Functions 價格頁面。
注意
此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作,其部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 Netskope 並載入函式程式代碼,或按兩下 這裡,在查詢的第二行輸入 Netskope 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在安裝/更新解決方案之後,此函式通常需要 10-15 分鐘才能啟動。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - Netskope API 的設定步驟
請遵循 Netskope 所提供的這些指示 來取得 API 令牌。 注意: 需要 Netskope 帳戶
步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Netskope 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及可供使用 Netskope API 授權令牌。
選項 1 - Azure Resource Manager (ARM) 範本
此方法會使用ARM範本提供Netskope連接器的自動化部署。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入工作區標識碼、工作區密鑰、API 金鑰和 URI。
- 針對值使用下列架構
uri:https://<Tenant Name>.goskope.com以您的網域取代<Tenant Name>。 - 預設時間間隔設為提取最後五 (5) 分鐘的資料。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式 (在function.json 檔案中,部署後) 以防止重疊的資料擷取。
- 默認 的記錄類型 設定為提取所有 6 個可用的記錄類型 (
alert, page, application, audit, infrastructure, network),移除任何不需要。 - 若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。
- 選取標示為 [我同意上方所述的條款及條件] 的核取方塊。
- 按一下 [購買] 以部署。
- 成功部署連接器之後,請下載 Kusto 函式將數據欄位正規化。 請依照步驟 使用 Kusto 函式別名 Netskope。
選項 2 - Azure Functions 手動部署
此方法提供使用 Azure Function 手動部署 Netskope 連接器的逐步指示。
1.建立函式應用程式
- 從 Azure 入口網站中,瀏覽至函式應用程式,然後選取 [+ 新增]。
- 在 [基本資料] 索引標籤中,確定執行階段堆疊設定為 [Powershell Core]。
- 在 [裝載] 索引標籤中,確定已選取 [使用量 (無伺服器)] 計畫類型。
- 視需要進行其他較佳的組態變更,然後按兩下 [ 建立]。
2.匯入函數應用程式程式碼
- 在新建立的函式應用程式中,選取左窗格中的 [函式],然後按一下 [+ 新增]。
- 選取 [計時器觸發程序]。
- 輸入唯一的函式 [名稱] 並且視需要修改 cron 排程。 預設值會設為每隔 5 分鐘執行函式應用程式一次。 (注意:定時器觸發程序應符合下面的
timeInterval值以防止資料重疊),請按一下 [建立]。 - 按一下左窗格上的 [程式碼 + 測試]。
- 複製函式應用程式程式碼並貼到函式應用程式
run.ps1編輯器中。 - 按一下 [檔案] 。
3.設定函數應用程式
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
- 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
- 個別新增下列七個 (7) 個應用程式設定,其個別字串值(區分大小寫):apikey workspaceID workspaceKey uri timeInterval logTypes logAnalyticsUri (選擇性)
- 輸入對應至您區域的 URI。 值
uri必須遵循下列架構:https://<Tenant Name>.goskope.com- 不需要將後續參數新增至 URI,函式應用程式會以適當的格式動態附加參數。- 將
timeInterval(以分鐘為單位) 設定為預設值5,以對應至每5分鐘的預設定時器觸發程序。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式,以防止重疊的資料擷取。logTypes將設定為alert, page, application, audit, infrastructure, network- 此清單代表所有可用的記錄類型。 根據記錄需求選取記錄類型,並以單一逗號分隔每個類型。- 注意:如果使用 Azure Key Vault,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述來取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將該值留空;對於 Azure GovUS 雲端環境,請依下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。 4.輸入所有應用程式設定之後,請按一下 [儲存]。 5.成功部署連接器之後,請下載 Kusto 函式來正規化數據欄位。 請依照步驟 使用 Kusto 函式別名 Netskope。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。