Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Quellkonfiguration für Netskope
Integration mit Netskope
Netskope ist eine Cloud-native Security Service Edge- (SSE) - und SASE-Plattform, die Daten- und Bedrohungsschutz in Echtzeit für Cloud-Dienste, Websites und private Anwendungen bietet. CloudWatch Pipeline verwendet die Netskope REST API v2-Endpunkte, um Sicherheitsereignisse und -warnungen von Ihrem Netskope-Mandanten abzurufen. Die REST-API v2 bietet Zugriff auf Sicherheitsereignis- und Warnmeldungsprotokolle über spezielle Endpunkte für jeden Protokolltyp: Anwendung, Seite, Netzwerk, Infrastruktur, Audit, Vorfall, Endpunkt und Warnung. Warnprotokolle decken Bedrohungserkennungen und Richtlinienverstöße für verschiedene Warntypen ab, z. B. DLP, Malware, Malsite, Richtlinien, kompromittierte Anmeldeinformationen und UBA.
Authentifizierung mit Netskope
Um Netskope-Ereignis- und Warnungsprotokolle lesen zu können, muss sich die Pipeline bei Ihrem Mandanten authentifizieren. Dabei wird ein REST-API-v2-Token verwendet, das über ein Dienstkonto im Rahmen des RBACv3-Frameworks ausgestellt wurde. Gehen Sie wie folgt vor, um ein Dienstkonto zu erstellen und ein API-Token zu generieren:
<your-tenant>Melden Sie sich bei Ihrer Netskope Admin-Konsole unter https://.goskope.com an.
Navigieren Sie zu Einstellungen > Administration > Administratoren und Rollen.
Wählen Sie den Tab Rollen und anschließend Rolle erstellen aus.
Geben Sie einen Rollennamen ein (z. B. "CloudWatch-API-Role„) und konfigurieren Sie die folgenden Berechtigungen für den Funktionsbereich:
Steuerung: Anwendungsereignisse, Seitenereignisse, Netzwerkereignisse, Infrastrukturereignisse, Vorfallsereignisse, Endpunktereignisse, Warnungen — alles ist auf „Anzeigen“ eingestellt.
Administration: Audit-Protokoll — auf „Anzeigen“ gesetzt.
Zugriffskontrolle: Infrastruktur — auf „Ansicht“ eingestellt.
DLP: DLP-Vorfall — auf „Anzeigen“ eingestellt.
Wählen Sie Speichern, um die Rolle zu erstellen.
Wählen Sie die Registerkarte „Administratoren“ und anschließend die Schaltfläche „Dienstkonten“.
Wählen Sie „Neues Dienstkonto“ und konfigurieren Sie:
Name des Dienstkontos: Geben Sie einen aussagekräftigen Namen ein (z. B. "CloudWatch-Collector„).
Rolle: Wählen Sie die in Schritt 5 erstellte Rolle aus (z. B. "CloudWatch-API-Role„).
Ablauf bis: Legen Sie einen geeigneten Ablaufzeitraum fest (z. B. 365 Tage).
Wählen Sie Erstellen aus. In einem Dialogfeld wird das generierte REST-API-Token angezeigt. Kopieren Sie dieses Token sofort — es wird nicht erneut angezeigt.
Erstellen Sie ein Geheimnis und speichern Sie das API-Token. AWS Secrets Manager
Konfiguration der CloudWatch Pipeline
Wenn Sie die Pipeline so konfigurieren, dass sie Ereignis- und Warnungsprotokolle von Netskope liest, wählen Sie Netskope als Datenquelle. Geben Sie die erforderlichen Informationen wie Ihren Mandanten-Hostnamen und den AWS Secrets Manager geheimen ARN für Ihre Anmeldeinformationen ein, in denen api_token gespeichert ist. Sobald Sie die Pipeline erstellt haben, sind die Daten in der ausgewählten CloudWatch Protokollgruppe Logs verfügbar.
Unterstützte Open Cybersecurity Schema Framework-Eventklassen
Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und transformiert die folgenden Ereignisse, die Authentifizierung (3002), Entitätsverwaltung (3004), Kontoänderung (3001), Netzwerkaktivität (4001), Erkennungsfindung (2004), Datensicherheitsfindung (2006), Datei-Hosting-Aktivität (6006) und Geräteinventarinformationen (5001) zugeordnet sind. Ereignisse, die nicht aufgeführt, aber abgerufen wurden, werden nicht OCSF zugeordnet und als Rohprotokolle an die Senke weitergeleitet.
Die Authentifizierung (3002) umfasst die folgenden Ereignisse aus zwei Ereignistypen:
Anwendungsereignisse unter Verwendung des Felds „Aktivität“. Die unterstützten Aktivitätswerte sind:
Anmeldeversuch
Anmeldung fehlgeschlagen
Anmeldung erfolgreich
Abmelden
Andere Ereignisse, die das Schlüsselwort „login“ enthalten
Überprüfen Sie Ereignisse mithilfe des Felds „audit_log_event“. Die unterstützten audit_log_event-Werte sind:
Anmeldung fehlgeschlagen
Anmeldung erfolgreich
Abmeldung erfolgreich
SSO-Anmeldung fehlgeschlagen
SSO-Anmeldung erfolgreich
SSO-Anmeldung erfolgreich vom Netskope-Support
SSO-Anmeldung beim Netskope-Support fehlgeschlagen
Der Administrator hat sich wegen aufeinanderfolgender Anmeldefehler abgemeldet
Entity Management (3004) enthält die folgenden Ereignisse aus Audit Events:
Neue Inline-Richtlinie erstellt
Legen Sie eine spezielle IP-Richtlinie für ausgehenden Datenverkehr fest
Neue RBI-Vorlage erstellt
Neue Tunnelgruppe erstellt
Neue Introspektionsrichtlinie erstellt
Die CASB-API-Instanz der nächsten Generation wurde erstellt
Es wurde eine neue CASB-API-Richtlinie der nächsten Generation erstellt
Ein CASB-API-Retroscan der nächsten Generation wurde erstellt
Die Inline-Richtlinie wurde bearbeitet
Aktualisieren Sie die Standardaktionen für Inline-Richtlinien
Bearbeitete RBI-Vorlage
Tunnelgruppe bearbeitet
Introspektion-Richtliniendatensatz bearbeiten
Die CASB-API-Instanz der nächsten Generation wurde aktualisiert
Die CASB-API-Richtlinie der nächsten Generation wurde bearbeitet
Der CASB-API-Retroscan der nächsten Generation wurde bearbeitet
Die Inline-Richtlinie wurde gelöscht
RBI-Vorlage wurde gelöscht
Die Tunnelgruppe wurde gelöscht
Die Introspektionsrichtlinie wurde gelöscht
Die CASB-API-Instanz der nächsten Generation wurde gelöscht
Die CASB-API-Richtlinie der nächsten Generation wurde gelöscht
Der CASB-API-Retroscan der nächsten Generation wurde gelöscht
Inline-Richtlinie eingeführt
RBI-Vorlage veröffentlicht
Tunnelgruppen wurden verschoben
Angewendete Phoenix-Richtliniendatensätze
Richtlinien für die erweiterte Introspektion
Die CASB-API-Richtlinien der nächsten Generation wurden veröffentlicht
Der Retroscan der CASB-API der nächsten Generation wurde gestoppt
Der Retroscan der CASB-API der nächsten Generation wurde angehalten
Account Change (3001) enthält die folgenden Ereignisse aus Audit Events:
Ein neuer Admin wurde erstellt
SSO-Administrator hinzugefügt
Ein neuer Support-Administrator wurde erstellt
Admin aktiviert
Fehlgeschlagener Versuch zur Passwortänderung
Die Passwortänderung war erfolgreich
Passwort zurücksetzen
Admin deaktiviert
Admin gelöscht
Der Netskope SSO-Administrator wurde gelöscht
Netskope-Unterstützung (SSO) aktiviert
Netskope-Unterstützung (SSO) deaktiviert
Admin freigeschaltet
SSO-Administratordatensatz bearbeitet
Admin-Datensatz bearbeiten
Die Admin-Einstellungen wurden aktualisiert
Netzwerkaktivität (4001) umfasst die folgenden Ereignisse:
Netzwerkereignisse werden anhand der Felder record_type="network“ und „action“ kategorisiert. Die unterstützten „Action“ -Werte sind:
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf
Blockieren
Bypass
Abgeschlossen
Timeout bei Leerlauf
Fahren Sie fort
Alle Ereignisse mit dem Wert /record_type = „connection“ sind ebenfalls enthalten.
Detection Finding (2004) enthält die folgenden Ereignisse:
Warnmeldungen werden anhand der Felder „alert_type“ und „alert“ kategorisiert, wobei der Feldwert „alert“ auf „yes“ gesetzt ist. Die unterstützten „alert_type“ -Werte sind:
Kompromittierte Anmeldeinformationen
Malsite
Schadsoftware
Richtlinie
KUBA
C2
Data Security Finding (2006) umfasst die folgenden Ereignisse:
/record_type = „alert“ und /alert_type = „DLP“
/record_type = „Vorfall“
/record_type = „epdlp“ und /type = „Endpunkt“
Die Datei-Hosting-Aktivität (6006) umfasst die folgenden Ereignisse:
Anwendungsereignisse werden anhand des Felds „Aktivität“ kategorisiert, wobei der Wert im Feld „Warnung“ auf „Nein“ gesetzt ist. Die unterstützten Aktivitätswerte sind:
Upload einer Browser-Datei
Attach
Create
Download
Alles herunterladen
Installer herunterladen
Bearbeiten
Schnelle Bearbeitung
Einfügen
Delete
Alles löschen
Kopieren
Verschieben
Vorversion
Formular teilen
Zugriff auf File Share
Hochladen
Freigeben
Beitrag
Anzeigen
Archiv
Bluetooth-Dateiübertragung
Aufhebung der Verknüpfung
Print (Ausgabe)
Veröffentlichen
Die Geräteinventarinformationen (5001) enthalten die folgenden Ereignisse:
Alle Infrastrukturprotokolle mit record_type="infrastructure“.