View a markdown version of this page

Quellkonfiguration für Netskope - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Netskope

Integration mit Netskope

Netskope ist eine Cloud-native Security Service Edge- (SSE) - und SASE-Plattform, die Daten- und Bedrohungsschutz in Echtzeit für Cloud-Dienste, Websites und private Anwendungen bietet. CloudWatch Pipeline verwendet die Netskope REST API v2-Endpunkte, um Sicherheitsereignisse und -warnungen von Ihrem Netskope-Mandanten abzurufen. Die REST-API v2 bietet Zugriff auf Sicherheitsereignis- und Warnmeldungsprotokolle über spezielle Endpunkte für jeden Protokolltyp: Anwendung, Seite, Netzwerk, Infrastruktur, Audit, Vorfall, Endpunkt und Warnung. Warnprotokolle decken Bedrohungserkennungen und Richtlinienverstöße für verschiedene Warntypen ab, z. B. DLP, Malware, Malsite, Richtlinien, kompromittierte Anmeldeinformationen und UBA.

Authentifizierung mit Netskope

Um Netskope-Ereignis- und Warnungsprotokolle lesen zu können, muss sich die Pipeline bei Ihrem Mandanten authentifizieren. Dabei wird ein REST-API-v2-Token verwendet, das über ein Dienstkonto im Rahmen des RBACv3-Frameworks ausgestellt wurde. Gehen Sie wie folgt vor, um ein Dienstkonto zu erstellen und ein API-Token zu generieren:

  1. <your-tenant>Melden Sie sich bei Ihrer Netskope Admin-Konsole unter https://.goskope.com an.

  2. Navigieren Sie zu Einstellungen > Administration > Administratoren und Rollen.

  3. Wählen Sie den Tab Rollen und anschließend Rolle erstellen aus.

  4. Geben Sie einen Rollennamen ein (z. B. "CloudWatch-API-Role„) und konfigurieren Sie die folgenden Berechtigungen für den Funktionsbereich:

    • Steuerung: Anwendungsereignisse, Seitenereignisse, Netzwerkereignisse, Infrastrukturereignisse, Vorfallsereignisse, Endpunktereignisse, Warnungen — alles ist auf „Anzeigen“ eingestellt.

    • Administration: Audit-Protokoll — auf „Anzeigen“ gesetzt.

    • Zugriffskontrolle: Infrastruktur — auf „Ansicht“ eingestellt.

    • DLP: DLP-Vorfall — auf „Anzeigen“ eingestellt.

  5. Wählen Sie Speichern, um die Rolle zu erstellen.

  6. Wählen Sie die Registerkarte „Administratoren“ und anschließend die Schaltfläche „Dienstkonten“.

  7. Wählen Sie „Neues Dienstkonto“ und konfigurieren Sie:

    • Name des Dienstkontos: Geben Sie einen aussagekräftigen Namen ein (z. B. "CloudWatch-Collector„).

    • Rolle: Wählen Sie die in Schritt 5 erstellte Rolle aus (z. B. "CloudWatch-API-Role„).

    • Ablauf bis: Legen Sie einen geeigneten Ablaufzeitraum fest (z. B. 365 Tage).

  8. Wählen Sie Erstellen aus. In einem Dialogfeld wird das generierte REST-API-Token angezeigt. Kopieren Sie dieses Token sofort — es wird nicht erneut angezeigt.

  9. Erstellen Sie ein Geheimnis und speichern Sie das API-Token. AWS Secrets Manager

Konfiguration der CloudWatch Pipeline

Wenn Sie die Pipeline so konfigurieren, dass sie Ereignis- und Warnungsprotokolle von Netskope liest, wählen Sie Netskope als Datenquelle. Geben Sie die erforderlichen Informationen wie Ihren Mandanten-Hostnamen und den AWS Secrets Manager geheimen ARN für Ihre Anmeldeinformationen ein, in denen api_token gespeichert ist. Sobald Sie die Pipeline erstellt haben, sind die Daten in der ausgewählten CloudWatch Protokollgruppe Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und transformiert die folgenden Ereignisse, die Authentifizierung (3002), Entitätsverwaltung (3004), Kontoänderung (3001), Netzwerkaktivität (4001), Erkennungsfindung (2004), Datensicherheitsfindung (2006), Datei-Hosting-Aktivität (6006) und Geräteinventarinformationen (5001) zugeordnet sind. Ereignisse, die nicht aufgeführt, aber abgerufen wurden, werden nicht OCSF zugeordnet und als Rohprotokolle an die Senke weitergeleitet.

Die Authentifizierung (3002) umfasst die folgenden Ereignisse aus zwei Ereignistypen:

Anwendungsereignisse unter Verwendung des Felds „Aktivität“. Die unterstützten Aktivitätswerte sind:

  • Anmeldeversuch

  • Anmeldung fehlgeschlagen

  • Anmeldung erfolgreich

  • Abmelden

  • Andere Ereignisse, die das Schlüsselwort „login“ enthalten

Überprüfen Sie Ereignisse mithilfe des Felds „audit_log_event“. Die unterstützten audit_log_event-Werte sind:

  • Anmeldung fehlgeschlagen

  • Anmeldung erfolgreich

  • Abmeldung erfolgreich

  • SSO-Anmeldung fehlgeschlagen

  • SSO-Anmeldung erfolgreich

  • SSO-Anmeldung erfolgreich vom Netskope-Support

  • SSO-Anmeldung beim Netskope-Support fehlgeschlagen

  • Der Administrator hat sich wegen aufeinanderfolgender Anmeldefehler abgemeldet

Entity Management (3004) enthält die folgenden Ereignisse aus Audit Events:

  • Neue Inline-Richtlinie erstellt

  • Legen Sie eine spezielle IP-Richtlinie für ausgehenden Datenverkehr fest

  • Neue RBI-Vorlage erstellt

  • Neue Tunnelgruppe erstellt

  • Neue Introspektionsrichtlinie erstellt

  • Die CASB-API-Instanz der nächsten Generation wurde erstellt

  • Es wurde eine neue CASB-API-Richtlinie der nächsten Generation erstellt

  • Ein CASB-API-Retroscan der nächsten Generation wurde erstellt

  • Die Inline-Richtlinie wurde bearbeitet

  • Aktualisieren Sie die Standardaktionen für Inline-Richtlinien

  • Bearbeitete RBI-Vorlage

  • Tunnelgruppe bearbeitet

  • Introspektion-Richtliniendatensatz bearbeiten

  • Die CASB-API-Instanz der nächsten Generation wurde aktualisiert

  • Die CASB-API-Richtlinie der nächsten Generation wurde bearbeitet

  • Der CASB-API-Retroscan der nächsten Generation wurde bearbeitet

  • Die Inline-Richtlinie wurde gelöscht

  • RBI-Vorlage wurde gelöscht

  • Die Tunnelgruppe wurde gelöscht

  • Die Introspektionsrichtlinie wurde gelöscht

  • Die CASB-API-Instanz der nächsten Generation wurde gelöscht

  • Die CASB-API-Richtlinie der nächsten Generation wurde gelöscht

  • Der CASB-API-Retroscan der nächsten Generation wurde gelöscht

  • Inline-Richtlinie eingeführt

  • RBI-Vorlage veröffentlicht

  • Tunnelgruppen wurden verschoben

  • Angewendete Phoenix-Richtliniendatensätze

  • Richtlinien für die erweiterte Introspektion

  • Die CASB-API-Richtlinien der nächsten Generation wurden veröffentlicht

  • Der Retroscan der CASB-API der nächsten Generation wurde gestoppt

  • Der Retroscan der CASB-API der nächsten Generation wurde angehalten

Account Change (3001) enthält die folgenden Ereignisse aus Audit Events:

  • Ein neuer Admin wurde erstellt

  • SSO-Administrator hinzugefügt

  • Ein neuer Support-Administrator wurde erstellt

  • Admin aktiviert

  • Fehlgeschlagener Versuch zur Passwortänderung

  • Die Passwortänderung war erfolgreich

  • Passwort zurücksetzen

  • Admin deaktiviert

  • Admin gelöscht

  • Der Netskope SSO-Administrator wurde gelöscht

  • Netskope-Unterstützung (SSO) aktiviert

  • Netskope-Unterstützung (SSO) deaktiviert

  • Admin freigeschaltet

  • SSO-Administratordatensatz bearbeitet

  • Admin-Datensatz bearbeiten

  • Die Admin-Einstellungen wurden aktualisiert

Netzwerkaktivität (4001) umfasst die folgenden Ereignisse:

Netzwerkereignisse werden anhand der Felder record_type="network“ und „action“ kategorisiert. Die unterstützten „Action“ -Werte sind:

  • Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf

  • Blockieren

  • Bypass

  • Abgeschlossen

  • Timeout bei Leerlauf

  • Fahren Sie fort

Alle Ereignisse mit dem Wert /record_type = „connection“ sind ebenfalls enthalten.

Detection Finding (2004) enthält die folgenden Ereignisse:

Warnmeldungen werden anhand der Felder „alert_type“ und „alert“ kategorisiert, wobei der Feldwert „alert“ auf „yes“ gesetzt ist. Die unterstützten „alert_type“ -Werte sind:

  • Kompromittierte Anmeldeinformationen

  • Malsite

  • Schadsoftware

  • Richtlinie

  • KUBA

  • C2

Data Security Finding (2006) umfasst die folgenden Ereignisse:

  • /record_type = „alert“ und /alert_type = „DLP“

  • /record_type = „Vorfall“

  • /record_type = „epdlp“ und /type = „Endpunkt“

Die Datei-Hosting-Aktivität (6006) umfasst die folgenden Ereignisse:

Anwendungsereignisse werden anhand des Felds „Aktivität“ kategorisiert, wobei der Wert im Feld „Warnung“ auf „Nein“ gesetzt ist. Die unterstützten Aktivitätswerte sind:

  • Upload einer Browser-Datei

  • Attach

  • Create

  • Download

  • Alles herunterladen

  • Installer herunterladen

  • Bearbeiten

  • Schnelle Bearbeitung

  • Einfügen

  • Delete

  • Alles löschen

  • Kopieren

  • Verschieben

  • Vorversion

  • Formular teilen

  • Zugriff auf File Share

  • Hochladen

  • Freigeben

  • Beitrag

  • Anzeigen

  • Archiv

  • Bluetooth-Dateiübertragung

  • Aufhebung der Verknüpfung

  • Print (Ausgabe)

  • Veröffentlichen

Die Geräteinventarinformationen (5001) enthalten die folgenden Ereignisse:

Alle Infrastrukturprotokolle mit record_type="infrastructure“.