Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di origine per Netskope
Integrazione con Netskope
Netskope è una piattaforma Security Service Edge (SSE) e SASE nativa per il cloud che fornisce dati e protezione dalle minacce in tempo reale per servizi cloud, siti Web e applicazioni private. CloudWatch Pipeline utilizza gli endpoint Netskope REST API v2 per recuperare eventi e avvisi di sicurezza dal tenant Netskope. L'API REST v2 fornisce l'accesso ai registri degli eventi e degli avvisi di sicurezza tramite endpoint dedicati per ogni tipo di registro: applicazione, pagina, rete, infrastruttura, audit, incidente, endpoint e alert. I registri degli avvisi coprono i rilevamenti delle minacce e le violazioni delle politiche in tutti i tipi di avvisi, ad esempio DLP, malware, malsite, policy, credenziali compromesse e UBA.
Autenticazione con Netskope
Per leggere i registri degli eventi e degli avvisi di Netskope, la pipeline deve autenticarsi con il tenant utilizzando un token REST API v2 emesso tramite un account di servizio nell'ambito del framework RBACv3. Segui questi passaggi per creare un account di servizio e generare un token API:
<your-tenant>Accedi alla tua Netskope Admin Console all'indirizzo https://.goskope.com.
Vai a Impostazioni > Amministrazione > Amministratori e ruoli.
Scegli la scheda Ruoli, quindi scegli Crea ruolo.
Inserisci un nome di ruolo (ad esempio, "CloudWatch-API-Role«) e configura le seguenti autorizzazioni per l'area funzionale:
Gestione: eventi applicativi, eventi di pagina, eventi di rete, eventi dell'infrastruttura, eventi imprevisti, eventi degli endpoint, avvisi: tutto impostato su Visualizza.
Amministrazione: Registro di controllo, impostato su Visualizza.
Controllo degli accessi: infrastruttura: impostata su Visualizza.
DLP: Incidente DLP: impostato su Visualizza.
Scegli Salva per creare il ruolo.
Scegli la scheda Amministratori, quindi scegli il pulsante Account di servizio.
Scegli Nuovo account di servizio e configura:
Nome dell'account di servizio: inserisci un nome descrittivo (ad esempio, "CloudWatch-Collector«).
Ruolo: seleziona il ruolo creato nel passaggio 5 (ad esempio, "CloudWatch-API-Role«).
Scadenza: imposta un periodo di scadenza appropriato (ad esempio, 365 giorni).
Scegli Create (Crea). Una finestra di dialogo mostra il token API REST generato. Copia immediatamente questo token: non verrà più mostrato.
In Gestione dei segreti AWS, crea un segreto e archivia il token API.
Configurazione della pipeline CloudWatch
Quando configuri la pipeline per leggere i registri degli eventi e degli avvisi da Netskope, scegli Netskope come origine dati. Inserisci le informazioni richieste come il nome host del tenant e l' Gestione dei segreti AWS ARN segreto per le tue credenziali in cui è archiviato api_token. Una volta creata la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch
Classi di eventi Open Cybersecurity Schema Framework supportate
Questa integrazione supporta la versione dello schema OCSF v1.5.0 e trasforma i seguenti eventi associati a Authentication (3002), Entity Management (3004), Account Change (3001), Network Activity (4001), Detection Finding (2004), Data Security Finding (2006), File Hosting Activity (6006) e Device Inventory Info (5001). Gli eventi che non sono elencati ma estratti non vengono mappati su OCSF e verranno inoltrati al sink come registri non elaborati.
L'autenticazione (3002) contiene i seguenti eventi di due tipi di eventi:
Eventi applicativi, utilizzando il campo «attività». I valori di attività supportati sono:
Tentativo di accesso
Login fallito
Login riuscito
Disconnessione
Altri eventi che contengono la parola chiave «login»
Eventi di controllo, utilizzando il campo «audit_log_event». I valori audit_log_event supportati sono:
Login non riuscito
Login riuscito
Logout riuscito
Accesso SSO non riuscito
Accesso SSO riuscito
Accesso SSO riuscito con successo da Netskope Support
Accesso SSO non riuscito da Netskope Support
L'amministratore si è disconnesso a causa di errori di accesso successivi
Entity Management (3004) contiene i seguenti eventi di Audit Events:
È stata creata una nuova politica in linea
Imposta una politica di uscita dedicata
Nuovo modello rbi creato
Creato un nuovo gruppo di tunnel
Creata una nuova politica di introspezione
Creata un'istanza dell'API CASB di nuova generazione
Creata una nuova policy API CASB di nuova generazione
Creazione di retroscan dell'API CASB di nuova generazione
Politica in linea modificata
Aggiorna le azioni predefinite per le politiche in linea
Modello rbi modificato
Gruppo di tunnel modificato
Modifica il record della politica di introspezione
Istanza dell'API CASB di nuova generazione aggiornata
Politica dell'API CASB di nuova generazione modificata
API CASB di nuova generazione modificata con retroscan
Politica in linea eliminata
Modello rbi eliminato
Gruppo di tunnel eliminato
Politica di introspezione eliminata
Istanza API CASB di nuova generazione eliminata
Policy API CASB di nuova generazione eliminata
Retroscan dell'API CASB di nuova generazione eliminato
Policy in linea inserita
Modello rbi inviato
Gruppi di tunnel spinti
Record di policy di Phoenix applicati
Politiche di Pushed Introspection
Policy API CASB di nuova generazione avanzate
Il retroscan dell'API CASB di nuova generazione si è interrotto
La retroscansione dell'API CASB di nuova generazione è stata messa in pausa
Account Change (3001) contiene i seguenti eventi di Audit Events:
Nuovo amministratore creato
Aggiunto amministratore SSO
Creato un nuovo amministratore di supporto
Amministratore abilitato
Tentativo di modifica della password non riuscito
Modifica della password avvenuta con successo
Reimpostare la password
Amministratore disattivato
Amministratore eliminato
Amministratore SSO di Netskope eliminato
Netskope Support SSO abilitato
Netskope Support SSO disabilitato
Amministratore sbloccato
Record di amministrazione SSO modificato
Modifica il record di amministratore
Impostazioni di amministrazione aggiornate
L'attività di rete (4001) contiene i seguenti eventi:
Gli eventi di rete sono classificati utilizzando i campi record_type="network» e «action». I valori di «azione» supportati sono:
Consenso
Blocco
Bypass
Closed
Tempo di inattività
Procedere
Sono inclusi anche tutti gli eventi con il valore di /record_type = «connection».
Detection Finding (2004) contiene i seguenti eventi:
Gli avvisi vengono classificati utilizzando i campi «alert_type» e «alert», dove il valore del campo «alert» è impostato su «yes». I valori «alert_type» supportati sono:
Credenziale compromessa
Malsito
Malware
Policy
UBA
C2
Data Security Finding (2006) contiene i seguenti eventi:
/record_type = «alert» e /alert_type = «DLP»
/record_type = «incidente»
/record_type = «epdlp» e /type = «endpoint»
File Hosting Activity (6006) contiene i seguenti eventi:
Gli eventi applicativi vengono classificati utilizzando il campo «attività», con il valore del campo «avviso» impostato su «no». I valori di attività supportati sono:
Caricamento di file nel browser
Collega
Crea
Scarica
Scarica tutto
Scarica Installer
Modifica
Modifica rapida
Insert
Elimina
Elimina tutto
Copia
Sposta
Anteprima
Formshare
Accesso alla condivisione di file
Caricamento
Condivisione
Pubblica
Vista
Archive (Archivia)
Trasferimento di file tramite Bluetooth
Distacca
Print (Stampa)
Pubblica
Device Inventory Info (5001) contiene i seguenti eventi:
Tutti i log dell'infrastruttura con record_type="infrastructure».