View a markdown version of this page

Configuration de la source pour Netskope - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la source pour Netskope

Intégration à Netskope

Netskope est une plateforme de sécurité Edge (SSE) et SASE native du cloud qui fournit une protection en temps réel des données et des menaces pour les services cloud, les sites Web et les applications privées. CloudWatch Pipeline utilise les points de terminaison Netskope REST API v2 pour récupérer les événements de sécurité et les alertes de votre client Netskope. L'API REST v2 permet d'accéder aux journaux d'événements et d'alertes de sécurité via des points de terminaison dédiés pour chaque type de journal : application, page, réseau, infrastructure, audit, incident, point de terminaison et alerte. Les journaux d'alertes couvrent les détections de menaces et les violations des politiques dans tous les types d'alertes tels que le DLP, les logiciels malveillants, les malsites, les politiques, les informations d'identification compromises et l'UBA.

Authentification avec Netskope

Pour lire les journaux d'événements et d'alertes de Netskope, le pipeline doit s'authentifier auprès de votre locataire à l'aide d'un jeton d'API REST v2 émis via un compte de service dans le cadre du framework RBACv3. Procédez comme suit pour créer un compte de service et générer un jeton d'API :

  1. <your-tenant>Connectez-vous à votre console d'administration Netskope à l'adresse https ://.goskope.com.

  2. Accédez à Paramètres > Administration > Administrateurs et rôles.

  3. Cliquez sur l'onglet Rôles, puis sélectionnez Créer un rôle.

  4. Entrez un nom de rôle (par exemple, CloudWatch-API-Role « ») et configurez les autorisations de domaine fonctionnel suivantes :

    • Pilotage : événements liés aux applications, événements de page, événements réseau, événements d'infrastructure, événements incidents, événements liés aux terminaux, alertes, le tout configuré pour afficher.

    • Administration : journal d'audit — défini sur Afficher.

    • Contrôle d'accès : infrastructure — paramétré sur Afficher.

    • DLP : Incident DLP — défini sur Afficher.

  5. Choisissez Enregistrer pour créer le rôle.

  6. Choisissez l'onglet Administrateurs, puis cliquez sur le bouton Comptes de service.

  7. Choisissez Nouveau compte de service et configurez :

    • Nom du compte de service : entrez un nom descriptif (par exemple, CloudWatch-Collector « »).

    • Rôle : sélectionnez le rôle créé à l'étape 5 (par exemple, CloudWatch-API-Role « »).

    • Date d'expiration : définissez une période d'expiration appropriée (par exemple, 365 jours).

  8. Choisissez Créer. Une boîte de dialogue affiche le jeton d'API REST généré. Copiez ce jeton immédiatement, il ne sera plus affiché.

  9. Dans AWS Secrets Manager, créez un secret et stockez le jeton d'API.

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les journaux d'événements et d'alertes de Netskope, choisissez Netskope comme source de données. Renseignez les informations requises, telles que le nom d'hôte de votre locataire et l'ARN AWS Secrets Manager secret de vos informations d'identification où api_token est stocké. Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et transforme les événements suivants qui concernent l'authentification (3002), la gestion des entités (3004), le changement de compte (3001), l'activité réseau (4001), le résultat de détection (2004), le résultat de sécurité des données (2006), l'activité d'hébergement de fichiers (6006) et les informations d'inventaire des appareils (5001). Les événements qui ne sont pas répertoriés mais extraits ne sont pas mappés à l'OCSF et seront transmis au récepteur sous forme de journaux bruts.

L'authentification (3002) contient les événements suivants issus de deux types d'événements :

Événements liés à l'application, en utilisant le champ « activité ». Les valeurs d'activité prises en charge sont les suivantes :

  • Tentative de connexion

  • Échec de connexion

  • Connexion réussie

  • Déconnexion

  • Autres événements contenant le mot-clé « login »

Auditez les événements, en utilisant le champ « audit_log_event ». Les valeurs audit_log_event prises en charge sont les suivantes :

  • Échec de connexion

  • Connexion réussie

  • Déconnexion réussie

  • Échec de la connexion SSO

  • Connexion SSO réussie

  • Connexion SSO réussie par le support Netskope

  • Échec de la connexion SSO par le support Netskope

  • L'administrateur s'est déconnecté en raison d'échecs de connexion successifs

Entity Management (3004) contient les événements suivants issus des événements d'audit :

  • Création d'une nouvelle politique en ligne

  • Définissez une politique d'adresse IP de sortie dédiée

  • Nouveau modèle RBI créé

  • Création d'un nouveau groupe de tunnels

  • Création d'une nouvelle politique d'introspection

  • Instance d'API CASB de nouvelle génération créée

  • Création d'une nouvelle politique d'API CASB de nouvelle génération

  • Création d'un rétroscan de l'API CASB de nouvelle génération

  • Politique en ligne modifiée

  • Mettre à jour les actions par défaut pour les politiques intégrées

  • Modèle RBI modifié

  • Groupe de tunnels modifié

  • Modifier l'enregistrement de la politique d'introspection

  • Instance d'API CASB de nouvelle génération mise à jour

  • Politique d'API CASB de nouvelle génération modifiée

  • Retroscan de l'API CASB de nouvelle génération édité

  • Politique en ligne supprimée

  • Modèle RBI supprimé

  • Groupe de tunnels supprimé

  • Politique d'introspection supprimée

  • Instance d'API CASB de nouvelle génération supprimée

  • Politique d'API CASB de nouvelle génération supprimée

  • Retroscan de l'API CASB de nouvelle génération supprimé

  • Politique intégrée poussée

  • Modèle RBI poussé

  • Groupes de tunnels poussés

  • Dossier (s) de politique Phénix appliqué

  • Politiques d'introspection poussée

  • Politiques d'API CASB de nouvelle génération poussées

  • Le rétroscan de l'API CASB de nouvelle génération s'est arrêté

  • Le rétroscan de l'API CASB de nouvelle génération est suspendu

Le changement de compte (3001) contient les événements suivants issus des événements d'audit :

  • A créé un nouvel administrateur

  • Ajout d'un administrateur SSO

  • Création d'un nouvel administrateur de support

  • Administrateur activé

  • Tentative de modification du mot de passe

  • Changement de mot de passe réussi

  • Réinitialiser le mot de passe

  • Administrateur désactivé

  • Administrateur supprimé

  • Administrateur Netskope SSO supprimé

  • Support Netskope (SSO) activé

  • Support Netskope (SSO) désactivé

  • Administrateur débloqué

  • Enregistrement d'administrateur SSO modifié

  • Modifier l'enregistrement de l'administrateur

  • Paramètres d'administration mis à jour

L'activité réseau (4001) contient les événements suivants :

Les événements réseau sont classés à l'aide des champs record_type="network » et « action ». Les valeurs d' « action » prises en charge sont les suivantes :

  • Allow

  • Bloc

  • Bypass

  • Fermées

  • Délai d'inactivité

  • Procéder

Tous les événements ayant la valeur /record_type = « connection » sont également inclus.

Detection Finding (2004) contient les événements suivants :

Les alertes sont classées à l'aide des champs « alert_type » et « alert », où la valeur du champ « alert » est définie sur « yes ». Les valeurs « alert_type » prises en charge sont les suivantes :

  • Informations d'identification compromises

  • Malsite

  • Malware

  • Politique

  • UBA

  • C2

Data Security Finding (2006) contient les événements suivants :

  • /record_type = « alerte » et /alert_type = « DLP »

  • /record_type = « incident »

  • /record_type = « epdlp » et /type = « point de terminaison »

L'activité d'hébergement de fichiers (6006) contient les événements suivants :

Les événements d'application sont classés en fonction du champ « activité », la valeur du champ « alerte » étant définie sur « non ». Les valeurs d'activité prises en charge sont les suivantes :

  • Téléchargement de fichiers dans le navigateur

  • Attacher

  • Créer

  • Download

  • Tout télécharger

  • Télécharger le programme d'installation

  • Retouche

  • Modification rapide

  • Insert

  • Suppression

  • Tout supprimer

  • Texte

  • Déplacer

  • Version préliminaire

  • Partage de formulaires

  • Accès au partage de fichiers

  • Charger

  • Partager

  • Publier

  • Afficher

  • Archivage

  • Transfert de fichiers Bluetooth

  • Detach

  • Print

  • Publication

Les informations d'inventaire des appareils (5001) contiennent les événements suivants :

Tous les journaux d'infrastructure avec record_type="infrastructure ».