Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la source pour Netskope
Intégration à Netskope
Netskope est une plateforme de sécurité Edge (SSE) et SASE native du cloud qui fournit une protection en temps réel des données et des menaces pour les services cloud, les sites Web et les applications privées. CloudWatch Pipeline utilise les points de terminaison Netskope REST API v2 pour récupérer les événements de sécurité et les alertes de votre client Netskope. L'API REST v2 permet d'accéder aux journaux d'événements et d'alertes de sécurité via des points de terminaison dédiés pour chaque type de journal : application, page, réseau, infrastructure, audit, incident, point de terminaison et alerte. Les journaux d'alertes couvrent les détections de menaces et les violations des politiques dans tous les types d'alertes tels que le DLP, les logiciels malveillants, les malsites, les politiques, les informations d'identification compromises et l'UBA.
Authentification avec Netskope
Pour lire les journaux d'événements et d'alertes de Netskope, le pipeline doit s'authentifier auprès de votre locataire à l'aide d'un jeton d'API REST v2 émis via un compte de service dans le cadre du framework RBACv3. Procédez comme suit pour créer un compte de service et générer un jeton d'API :
<your-tenant>Connectez-vous à votre console d'administration Netskope à l'adresse https ://.goskope.com.
Accédez à Paramètres > Administration > Administrateurs et rôles.
Cliquez sur l'onglet Rôles, puis sélectionnez Créer un rôle.
Entrez un nom de rôle (par exemple, CloudWatch-API-Role « ») et configurez les autorisations de domaine fonctionnel suivantes :
Pilotage : événements liés aux applications, événements de page, événements réseau, événements d'infrastructure, événements incidents, événements liés aux terminaux, alertes, le tout configuré pour afficher.
Administration : journal d'audit — défini sur Afficher.
Contrôle d'accès : infrastructure — paramétré sur Afficher.
DLP : Incident DLP — défini sur Afficher.
Choisissez Enregistrer pour créer le rôle.
Choisissez l'onglet Administrateurs, puis cliquez sur le bouton Comptes de service.
Choisissez Nouveau compte de service et configurez :
Nom du compte de service : entrez un nom descriptif (par exemple, CloudWatch-Collector « »).
Rôle : sélectionnez le rôle créé à l'étape 5 (par exemple, CloudWatch-API-Role « »).
Date d'expiration : définissez une période d'expiration appropriée (par exemple, 365 jours).
Choisissez Créer. Une boîte de dialogue affiche le jeton d'API REST généré. Copiez ce jeton immédiatement, il ne sera plus affiché.
Dans AWS Secrets Manager, créez un secret et stockez le jeton d'API.
Configuration du CloudWatch pipeline
Lorsque vous configurez le pipeline pour lire les journaux d'événements et d'alertes de Netskope, choisissez Netskope comme source de données. Renseignez les informations requises, telles que le nom d'hôte de votre locataire et l'ARN AWS Secrets Manager secret de vos informations d'identification où api_token est stocké. Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.
Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
Cette intégration prend en charge la version v1.5.0 du schéma OCSF et transforme les événements suivants qui concernent l'authentification (3002), la gestion des entités (3004), le changement de compte (3001), l'activité réseau (4001), le résultat de détection (2004), le résultat de sécurité des données (2006), l'activité d'hébergement de fichiers (6006) et les informations d'inventaire des appareils (5001). Les événements qui ne sont pas répertoriés mais extraits ne sont pas mappés à l'OCSF et seront transmis au récepteur sous forme de journaux bruts.
L'authentification (3002) contient les événements suivants issus de deux types d'événements :
Événements liés à l'application, en utilisant le champ « activité ». Les valeurs d'activité prises en charge sont les suivantes :
Tentative de connexion
Échec de connexion
Connexion réussie
Déconnexion
Autres événements contenant le mot-clé « login »
Auditez les événements, en utilisant le champ « audit_log_event ». Les valeurs audit_log_event prises en charge sont les suivantes :
Échec de connexion
Connexion réussie
Déconnexion réussie
Échec de la connexion SSO
Connexion SSO réussie
Connexion SSO réussie par le support Netskope
Échec de la connexion SSO par le support Netskope
L'administrateur s'est déconnecté en raison d'échecs de connexion successifs
Entity Management (3004) contient les événements suivants issus des événements d'audit :
Création d'une nouvelle politique en ligne
Définissez une politique d'adresse IP de sortie dédiée
Nouveau modèle RBI créé
Création d'un nouveau groupe de tunnels
Création d'une nouvelle politique d'introspection
Instance d'API CASB de nouvelle génération créée
Création d'une nouvelle politique d'API CASB de nouvelle génération
Création d'un rétroscan de l'API CASB de nouvelle génération
Politique en ligne modifiée
Mettre à jour les actions par défaut pour les politiques intégrées
Modèle RBI modifié
Groupe de tunnels modifié
Modifier l'enregistrement de la politique d'introspection
Instance d'API CASB de nouvelle génération mise à jour
Politique d'API CASB de nouvelle génération modifiée
Retroscan de l'API CASB de nouvelle génération édité
Politique en ligne supprimée
Modèle RBI supprimé
Groupe de tunnels supprimé
Politique d'introspection supprimée
Instance d'API CASB de nouvelle génération supprimée
Politique d'API CASB de nouvelle génération supprimée
Retroscan de l'API CASB de nouvelle génération supprimé
Politique intégrée poussée
Modèle RBI poussé
Groupes de tunnels poussés
Dossier (s) de politique Phénix appliqué
Politiques d'introspection poussée
Politiques d'API CASB de nouvelle génération poussées
Le rétroscan de l'API CASB de nouvelle génération s'est arrêté
Le rétroscan de l'API CASB de nouvelle génération est suspendu
Le changement de compte (3001) contient les événements suivants issus des événements d'audit :
A créé un nouvel administrateur
Ajout d'un administrateur SSO
Création d'un nouvel administrateur de support
Administrateur activé
Tentative de modification du mot de passe
Changement de mot de passe réussi
Réinitialiser le mot de passe
Administrateur désactivé
Administrateur supprimé
Administrateur Netskope SSO supprimé
Support Netskope (SSO) activé
Support Netskope (SSO) désactivé
Administrateur débloqué
Enregistrement d'administrateur SSO modifié
Modifier l'enregistrement de l'administrateur
Paramètres d'administration mis à jour
L'activité réseau (4001) contient les événements suivants :
Les événements réseau sont classés à l'aide des champs record_type="network » et « action ». Les valeurs d' « action » prises en charge sont les suivantes :
Allow
Bloc
Bypass
Fermées
Délai d'inactivité
Procéder
Tous les événements ayant la valeur /record_type = « connection » sont également inclus.
Detection Finding (2004) contient les événements suivants :
Les alertes sont classées à l'aide des champs « alert_type » et « alert », où la valeur du champ « alert » est définie sur « yes ». Les valeurs « alert_type » prises en charge sont les suivantes :
Informations d'identification compromises
Malsite
Malware
Politique
UBA
C2
Data Security Finding (2006) contient les événements suivants :
/record_type = « alerte » et /alert_type = « DLP »
/record_type = « incident »
/record_type = « epdlp » et /type = « point de terminaison »
L'activité d'hébergement de fichiers (6006) contient les événements suivants :
Les événements d'application sont classés en fonction du champ « activité », la valeur du champ « alerte » étant définie sur « non ». Les valeurs d'activité prises en charge sont les suivantes :
Téléchargement de fichiers dans le navigateur
Attacher
Créer
Download
Tout télécharger
Télécharger le programme d'installation
Retouche
Modification rapide
Insert
Suppression
Tout supprimer
Texte
Déplacer
Version préliminaire
Partage de formulaires
Accès au partage de fichiers
Charger
Partager
Publier
Afficher
Archivage
Transfert de fichiers Bluetooth
Detach
Print
Publication
Les informations d'inventaire des appareils (5001) contiennent les événements suivants :
Tous les journaux d'infrastructure avec record_type="infrastructure ».