Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi sumber untuk Netskope
Integrasi dengan Netskope
Netskope adalah platform Security Service Edge (SSE) dan SASE cloud-native yang menyediakan data real-time dan perlindungan ancaman untuk layanan cloud, situs web, dan aplikasi pribadi. CloudWatch Pipeline menggunakan endpoint Netskope REST API v2 untuk mengambil peristiwa keamanan dan peringatan dari penyewa Netskope Anda. REST API v2 menyediakan akses ke peristiwa keamanan dan log peringatan melalui titik akhir khusus untuk setiap jenis log: aplikasi, halaman, jaringan, infrastruktur, audit, insiden, titik akhir, dan peringatan. Log peringatan mencakup deteksi ancaman dan pelanggaran kebijakan di seluruh jenis peringatan seperti DLP, malware, malsite, kebijakan, kredensi yang dikompromikan, dan UBA.
Otentikasi dengan Netskope
Untuk membaca peristiwa Netskope dan log peringatan, pipeline perlu mengautentikasi dengan penyewa Anda menggunakan token REST API v2 yang dikeluarkan melalui Akun Layanan di bawah kerangka kerja RBACv3. Ikuti langkah-langkah berikut untuk membuat Akun Layanan dan menghasilkan token API:
<your-tenant>Masuk ke Konsol Admin Netskope Anda di https://.goskope.com.
Arahkan ke Pengaturan > Administrasi > Administrator & Peran.
Pilih tab Peran, lalu pilih Buat Peran.
Masukkan Nama Peran (misalnya, "CloudWatch-API-Role“) dan konfigurasikan izin area fungsional berikut:
Pengarah: Acara Aplikasi, Acara Halaman, Acara Jaringan, Acara Infrastruktur, Peristiwa Insiden, Acara Titik Akhir, Peringatan - semuanya diatur untuk Lihat.
Administrasi: Log Audit - atur ke Tampilan.
Access Control: Infrastruktur — atur ke View.
DLP: Insiden DLP - diatur ke View.
Pilih Simpan untuk membuat peran.
Pilih tab Administrator, lalu pilih tombol Akun Layanan.
Pilih Akun Layanan Baru dan konfigurasikan:
Nama Akun Layanan: Masukkan nama deskriptif (misalnya, "CloudWatch-Collector“).
Peran: Pilih peran yang dibuat pada langkah 5 (misalnya, "CloudWatch-API-Role“).
Kedaluwarsa Dalam: Tetapkan periode kedaluwarsa yang sesuai (misalnya, 365 hari).
Pilih Buat. Dialog menampilkan token REST API yang dihasilkan. Salin token ini segera — tidak akan ditampilkan lagi.
Di AWS Secrets Manager, buat rahasia dan simpan token API.
Mengkonfigurasi Pipeline CloudWatch
Saat mengonfigurasi pipeline untuk membaca peristiwa dan log peringatan dari Netskope, pilih Netskope sebagai sumber data. Isi informasi yang diperlukan seperti nama host penyewa Anda dan AWS Secrets Manager ARN rahasia untuk kredensional Anda di mana api_token disimpan. Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.
Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung
Integrasi ini mendukung skema OCSF versi v1.5.0 dan mengubah peristiwa berikut yang dipetakan menjadi Otentikasi (3002), Manajemen Entitas (3004), Perubahan Akun (3001), Aktivitas Jaringan (4001), Pencarian Deteksi (2004), Pencarian Keamanan Data (2006), Aktivitas Hosting File (6006), dan Info Inventaris Perangkat (5001). Peristiwa yang tidak terdaftar tetapi ditarik tidak dipetakan ke OCSF dan akan diteruskan ke wastafel sebagai log mentah.
Otentikasi (3002) berisi peristiwa berikut dari dua jenis acara:
Acara Aplikasi, menggunakan bidang “aktivitas”. Nilai aktivitas yang didukung adalah:
Upaya Masuk
Login Gagal
Login Berhasil
Keluar
Peristiwa lain yang berisi kata kunci “login”
Audit Events, menggunakan bidang “audit_log_event”. Nilai audit_log_event yang didukung adalah:
Login Gagal
Login Berhasil
Logout Berhasil
Login SSO Gagal
Login SSO Berhasil
Login SSO Berhasil oleh Netskope Support
Login SSO Gagal oleh Netskope Support
Admin keluar karena kegagalan login berturut-turut
Manajemen Entitas (3004) berisi peristiwa berikut dari Acara Audit:
Membuat kebijakan inline baru
Tetapkan kebijakan ip jalan keluar khusus
Membuat template rbi baru
Membuat grup terowongan baru
Membuat kebijakan introspeksi baru
Contoh API CASB Generasi Berikutnya dibuat
Membuat kebijakan API CASB Generasi Berikutnya yang baru
Retroscan API CASB Generasi Berikutnya dibuat
Kebijakan inline yang diedit
Perbarui tindakan default untuk kebijakan sebaris
Templat rbi yang diedit
Grup terowongan yang diedit
Edit catatan kebijakan introspeksi
Instans API CASB Generasi Berikutnya diperbarui
Kebijakan API CASB Generasi Berikutnya yang diedit
Berikutnya Gen CASB API Retroscan diedit
Kebijakan inline yang dihapus
Template rbi yang dihapus
Grup terowongan yang dihapus
Kebijakan introspeksi yang dihapus
Instans API CASB Generasi Berikutnya dihapus
Kebijakan API CASB Generasi Berikutnya yang Dihapus
Retroscan API CASB Generasi Berikutnya dihapus
Kebijakan inline yang didorong
Templat rbi yang didorong
Kelompok terowongan yang didorong
Catatan kebijakan Phoenix yang diterapkan
Kebijakan Introspeksi yang Didorong
Mendorong kebijakan API CASB Generasi Berikutnya
Retroscan API CASB Generasi Berikutnya dihentikan
Retroscan API CASB Generasi Berikutnya dijeda
Perubahan Akun (3001) berisi peristiwa berikut dari Acara Audit:
Dibuat admin baru
Ditambahkan SSO Admin
Menciptakan admin dukungan baru
Admin diaktifkan
Upaya Gagal Mengubah Kata Sandi
Perubahan Kata Sandi Berhasil
Setel ulang kata sandi
Admin dinonaktifkan
Admin yang dihapus
Dihapus Netskope SSO admin
Diaktifkan Netskope Support SSO
Dinonaktifkan Netskope Support SSO
Admin tidak terkunci
Catatan Admin SSO yang Diedit
Edit catatan admin
Pengaturan admin yang diperbarui
Aktivitas Jaringan (4001) berisi peristiwa berikut:
Peristiwa Jaringan dikategorikan menggunakan bidang record_type="network” dan “action”. Nilai “tindakan” yang didukung adalah:
Izinkan
Blokir
Bypass
Tutup
Batas Waktu Idle
Lanjutkan
Semua peristiwa dengan nilai /record_type = “koneksi” juga disertakan.
Detection Finding (2004) berisi peristiwa-peristiwa berikut:
Peringatan dikategorikan menggunakan bidang “alert_type” dan “alert”, di mana nilai bidang “alert” disetel ke “yes”. Nilai “alert_type” yang didukung adalah:
Kredensi Terkompromi
Malsite
Malware
Kebijakan
UBA
C2
Data Security Finding (2006) berisi peristiwa-peristiwa berikut:
/record_type = “alert” dan/alert_type = “DLP”
/record_type = “insiden”
/record_type = “epdlp” dan /type = “titik akhir”
Aktivitas File Hosting (6006) berisi peristiwa berikut:
Peristiwa Aplikasi dikategorikan menggunakan bidang “aktivitas”, dengan nilai bidang “peringatan” disetel ke “tidak”. Nilai aktivitas yang didukung adalah:
Unggah File Browser
Lampirkan
Buat
Unduh
Unduh Semua
Unduh Installer
Edit
Edit Cepat
Sisipkan
Delete
Hapus Semua
Salin
Pindah
Pratinjau
Formshare
Akses Berbagi File
Unggah
Bagikan
Posting
Tampilan
Arsip
Transfer File Bluetooth
Lepaskan
Cetak
Publikasikan
Info Inventaris Perangkat (5001) berisi peristiwa berikut:
Semua log infrastruktur dengan record_type="infrastructure”.