View a markdown version of this page

Konfigurasi sumber untuk Netskope - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sumber untuk Netskope

Integrasi dengan Netskope

Netskope adalah platform Security Service Edge (SSE) dan SASE cloud-native yang menyediakan data real-time dan perlindungan ancaman untuk layanan cloud, situs web, dan aplikasi pribadi. CloudWatch Pipeline menggunakan endpoint Netskope REST API v2 untuk mengambil peristiwa keamanan dan peringatan dari penyewa Netskope Anda. REST API v2 menyediakan akses ke peristiwa keamanan dan log peringatan melalui titik akhir khusus untuk setiap jenis log: aplikasi, halaman, jaringan, infrastruktur, audit, insiden, titik akhir, dan peringatan. Log peringatan mencakup deteksi ancaman dan pelanggaran kebijakan di seluruh jenis peringatan seperti DLP, malware, malsite, kebijakan, kredensi yang dikompromikan, dan UBA.

Otentikasi dengan Netskope

Untuk membaca peristiwa Netskope dan log peringatan, pipeline perlu mengautentikasi dengan penyewa Anda menggunakan token REST API v2 yang dikeluarkan melalui Akun Layanan di bawah kerangka kerja RBACv3. Ikuti langkah-langkah berikut untuk membuat Akun Layanan dan menghasilkan token API:

  1. <your-tenant>Masuk ke Konsol Admin Netskope Anda di https://.goskope.com.

  2. Arahkan ke Pengaturan > Administrasi > Administrator & Peran.

  3. Pilih tab Peran, lalu pilih Buat Peran.

  4. Masukkan Nama Peran (misalnya, "CloudWatch-API-Role“) dan konfigurasikan izin area fungsional berikut:

    • Pengarah: Acara Aplikasi, Acara Halaman, Acara Jaringan, Acara Infrastruktur, Peristiwa Insiden, Acara Titik Akhir, Peringatan - semuanya diatur untuk Lihat.

    • Administrasi: Log Audit - atur ke Tampilan.

    • Access Control: Infrastruktur — atur ke View.

    • DLP: Insiden DLP - diatur ke View.

  5. Pilih Simpan untuk membuat peran.

  6. Pilih tab Administrator, lalu pilih tombol Akun Layanan.

  7. Pilih Akun Layanan Baru dan konfigurasikan:

    • Nama Akun Layanan: Masukkan nama deskriptif (misalnya, "CloudWatch-Collector“).

    • Peran: Pilih peran yang dibuat pada langkah 5 (misalnya, "CloudWatch-API-Role“).

    • Kedaluwarsa Dalam: Tetapkan periode kedaluwarsa yang sesuai (misalnya, 365 hari).

  8. Pilih Buat. Dialog menampilkan token REST API yang dihasilkan. Salin token ini segera — tidak akan ditampilkan lagi.

  9. Di AWS Secrets Manager, buat rahasia dan simpan token API.

Mengkonfigurasi Pipeline CloudWatch

Saat mengonfigurasi pipeline untuk membaca peristiwa dan log peringatan dari Netskope, pilih Netskope sebagai sumber data. Isi informasi yang diperlukan seperti nama host penyewa Anda dan AWS Secrets Manager ARN rahasia untuk kredensional Anda di mana api_token disimpan. Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.

Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Integrasi ini mendukung skema OCSF versi v1.5.0 dan mengubah peristiwa berikut yang dipetakan menjadi Otentikasi (3002), Manajemen Entitas (3004), Perubahan Akun (3001), Aktivitas Jaringan (4001), Pencarian Deteksi (2004), Pencarian Keamanan Data (2006), Aktivitas Hosting File (6006), dan Info Inventaris Perangkat (5001). Peristiwa yang tidak terdaftar tetapi ditarik tidak dipetakan ke OCSF dan akan diteruskan ke wastafel sebagai log mentah.

Otentikasi (3002) berisi peristiwa berikut dari dua jenis acara:

Acara Aplikasi, menggunakan bidang “aktivitas”. Nilai aktivitas yang didukung adalah:

  • Upaya Masuk

  • Login Gagal

  • Login Berhasil

  • Keluar

  • Peristiwa lain yang berisi kata kunci “login”

Audit Events, menggunakan bidang “audit_log_event”. Nilai audit_log_event yang didukung adalah:

  • Login Gagal

  • Login Berhasil

  • Logout Berhasil

  • Login SSO Gagal

  • Login SSO Berhasil

  • Login SSO Berhasil oleh Netskope Support

  • Login SSO Gagal oleh Netskope Support

  • Admin keluar karena kegagalan login berturut-turut

Manajemen Entitas (3004) berisi peristiwa berikut dari Acara Audit:

  • Membuat kebijakan inline baru

  • Tetapkan kebijakan ip jalan keluar khusus

  • Membuat template rbi baru

  • Membuat grup terowongan baru

  • Membuat kebijakan introspeksi baru

  • Contoh API CASB Generasi Berikutnya dibuat

  • Membuat kebijakan API CASB Generasi Berikutnya yang baru

  • Retroscan API CASB Generasi Berikutnya dibuat

  • Kebijakan inline yang diedit

  • Perbarui tindakan default untuk kebijakan sebaris

  • Templat rbi yang diedit

  • Grup terowongan yang diedit

  • Edit catatan kebijakan introspeksi

  • Instans API CASB Generasi Berikutnya diperbarui

  • Kebijakan API CASB Generasi Berikutnya yang diedit

  • Berikutnya Gen CASB API Retroscan diedit

  • Kebijakan inline yang dihapus

  • Template rbi yang dihapus

  • Grup terowongan yang dihapus

  • Kebijakan introspeksi yang dihapus

  • Instans API CASB Generasi Berikutnya dihapus

  • Kebijakan API CASB Generasi Berikutnya yang Dihapus

  • Retroscan API CASB Generasi Berikutnya dihapus

  • Kebijakan inline yang didorong

  • Templat rbi yang didorong

  • Kelompok terowongan yang didorong

  • Catatan kebijakan Phoenix yang diterapkan

  • Kebijakan Introspeksi yang Didorong

  • Mendorong kebijakan API CASB Generasi Berikutnya

  • Retroscan API CASB Generasi Berikutnya dihentikan

  • Retroscan API CASB Generasi Berikutnya dijeda

Perubahan Akun (3001) berisi peristiwa berikut dari Acara Audit:

  • Dibuat admin baru

  • Ditambahkan SSO Admin

  • Menciptakan admin dukungan baru

  • Admin diaktifkan

  • Upaya Gagal Mengubah Kata Sandi

  • Perubahan Kata Sandi Berhasil

  • Setel ulang kata sandi

  • Admin dinonaktifkan

  • Admin yang dihapus

  • Dihapus Netskope SSO admin

  • Diaktifkan Netskope Support SSO

  • Dinonaktifkan Netskope Support SSO

  • Admin tidak terkunci

  • Catatan Admin SSO yang Diedit

  • Edit catatan admin

  • Pengaturan admin yang diperbarui

Aktivitas Jaringan (4001) berisi peristiwa berikut:

Peristiwa Jaringan dikategorikan menggunakan bidang record_type="network” dan “action”. Nilai “tindakan” yang didukung adalah:

  • Izinkan

  • Blokir

  • Bypass

  • Tutup

  • Batas Waktu Idle

  • Lanjutkan

Semua peristiwa dengan nilai /record_type = “koneksi” juga disertakan.

Detection Finding (2004) berisi peristiwa-peristiwa berikut:

Peringatan dikategorikan menggunakan bidang “alert_type” dan “alert”, di mana nilai bidang “alert” disetel ke “yes”. Nilai “alert_type” yang didukung adalah:

  • Kredensi Terkompromi

  • Malsite

  • Malware

  • Kebijakan

  • UBA

  • C2

Data Security Finding (2006) berisi peristiwa-peristiwa berikut:

  • /record_type = “alert” dan/alert_type = “DLP”

  • /record_type = “insiden”

  • /record_type = “epdlp” dan /type = “titik akhir”

Aktivitas File Hosting (6006) berisi peristiwa berikut:

Peristiwa Aplikasi dikategorikan menggunakan bidang “aktivitas”, dengan nilai bidang “peringatan” disetel ke “tidak”. Nilai aktivitas yang didukung adalah:

  • Unggah File Browser

  • Lampirkan

  • Buat

  • Unduh

  • Unduh Semua

  • Unduh Installer

  • Edit

  • Edit Cepat

  • Sisipkan

  • Delete

  • Hapus Semua

  • Salin

  • Pindah

  • Pratinjau

  • Formshare

  • Akses Berbagi File

  • Unggah

  • Bagikan

  • Posting

  • Tampilan

  • Arsip

  • Transfer File Bluetooth

  • Lepaskan

  • Cetak

  • Publikasikan

Info Inventaris Perangkat (5001) berisi peristiwa berikut:

Semua log infrastruktur dengan record_type="infrastructure”.