View a markdown version of this page

Configurazione di origine per Netskope - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di origine per Netskope

Integrazione con Netskope

Netskope è una piattaforma Security Service Edge (SSE) e SASE nativa per il cloud che fornisce dati e protezione dalle minacce in tempo reale per servizi cloud, siti Web e applicazioni private. CloudWatch Pipeline utilizza gli endpoint Netskope REST API v2 per recuperare eventi e avvisi di sicurezza dal tenant Netskope. L'API REST v2 fornisce l'accesso ai registri degli eventi e degli avvisi di sicurezza tramite endpoint dedicati per ogni tipo di registro: applicazione, pagina, rete, infrastruttura, audit, incidente, endpoint e alert. I registri degli avvisi coprono i rilevamenti delle minacce e le violazioni delle politiche in tutti i tipi di avvisi, ad esempio DLP, malware, malsite, policy, credenziali compromesse e UBA.

Autenticazione con Netskope

Per leggere i registri degli eventi e degli avvisi di Netskope, la pipeline deve autenticarsi con il tenant utilizzando un token REST API v2 emesso tramite un account di servizio nell'ambito del framework RBACv3. Segui questi passaggi per creare un account di servizio e generare un token API:

  1. <your-tenant>Accedi alla tua Netskope Admin Console all'indirizzo https://.goskope.com.

  2. Vai a Impostazioni > Amministrazione > Amministratori e ruoli.

  3. Scegli la scheda Ruoli, quindi scegli Crea ruolo.

  4. Inserisci un nome di ruolo (ad esempio, "CloudWatch-API-Role«) e configura le seguenti autorizzazioni per l'area funzionale:

    • Gestione: eventi applicativi, eventi di pagina, eventi di rete, eventi dell'infrastruttura, eventi imprevisti, eventi degli endpoint, avvisi: tutto impostato su Visualizza.

    • Amministrazione: Registro di controllo, impostato su Visualizza.

    • Controllo degli accessi: infrastruttura: impostata su Visualizza.

    • DLP: Incidente DLP: impostato su Visualizza.

  5. Scegli Salva per creare il ruolo.

  6. Scegli la scheda Amministratori, quindi scegli il pulsante Account di servizio.

  7. Scegli Nuovo account di servizio e configura:

    • Nome dell'account di servizio: inserisci un nome descrittivo (ad esempio, "CloudWatch-Collector«).

    • Ruolo: seleziona il ruolo creato nel passaggio 5 (ad esempio, "CloudWatch-API-Role«).

    • Scadenza: imposta un periodo di scadenza appropriato (ad esempio, 365 giorni).

  8. Scegli Create (Crea). Una finestra di dialogo mostra il token API REST generato. Copia immediatamente questo token: non verrà più mostrato.

  9. In Gestione dei segreti AWS, crea un segreto e archivia il token API.

Configurazione della pipeline CloudWatch

Quando configuri la pipeline per leggere i registri degli eventi e degli avvisi da Netskope, scegli Netskope come origine dati. Inserisci le informazioni richieste come il nome host del tenant e l' Gestione dei segreti AWS ARN segreto per le tue credenziali in cui è archiviato api_token. Una volta creata la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e trasforma i seguenti eventi associati a Authentication (3002), Entity Management (3004), Account Change (3001), Network Activity (4001), Detection Finding (2004), Data Security Finding (2006), File Hosting Activity (6006) e Device Inventory Info (5001). Gli eventi che non sono elencati ma estratti non vengono mappati su OCSF e verranno inoltrati al sink come registri non elaborati.

L'autenticazione (3002) contiene i seguenti eventi di due tipi di eventi:

Eventi applicativi, utilizzando il campo «attività». I valori di attività supportati sono:

  • Tentativo di accesso

  • Login fallito

  • Login riuscito

  • Disconnessione

  • Altri eventi che contengono la parola chiave «login»

Eventi di controllo, utilizzando il campo «audit_log_event». I valori audit_log_event supportati sono:

  • Login non riuscito

  • Login riuscito

  • Logout riuscito

  • Accesso SSO non riuscito

  • Accesso SSO riuscito

  • Accesso SSO riuscito con successo da Netskope Support

  • Accesso SSO non riuscito da Netskope Support

  • L'amministratore si è disconnesso a causa di errori di accesso successivi

Entity Management (3004) contiene i seguenti eventi di Audit Events:

  • È stata creata una nuova politica in linea

  • Imposta una politica di uscita dedicata

  • Nuovo modello rbi creato

  • Creato un nuovo gruppo di tunnel

  • Creata una nuova politica di introspezione

  • Creata un'istanza dell'API CASB di nuova generazione

  • Creata una nuova policy API CASB di nuova generazione

  • Creazione di retroscan dell'API CASB di nuova generazione

  • Politica in linea modificata

  • Aggiorna le azioni predefinite per le politiche in linea

  • Modello rbi modificato

  • Gruppo di tunnel modificato

  • Modifica il record della politica di introspezione

  • Istanza dell'API CASB di nuova generazione aggiornata

  • Politica dell'API CASB di nuova generazione modificata

  • API CASB di nuova generazione modificata con retroscan

  • Politica in linea eliminata

  • Modello rbi eliminato

  • Gruppo di tunnel eliminato

  • Politica di introspezione eliminata

  • Istanza API CASB di nuova generazione eliminata

  • Policy API CASB di nuova generazione eliminata

  • Retroscan dell'API CASB di nuova generazione eliminato

  • Policy in linea inserita

  • Modello rbi inviato

  • Gruppi di tunnel spinti

  • Record di policy di Phoenix applicati

  • Politiche di Pushed Introspection

  • Policy API CASB di nuova generazione avanzate

  • Il retroscan dell'API CASB di nuova generazione si è interrotto

  • La retroscansione dell'API CASB di nuova generazione è stata messa in pausa

Account Change (3001) contiene i seguenti eventi di Audit Events:

  • Nuovo amministratore creato

  • Aggiunto amministratore SSO

  • Creato un nuovo amministratore di supporto

  • Amministratore abilitato

  • Tentativo di modifica della password non riuscito

  • Modifica della password avvenuta con successo

  • Reimpostare la password

  • Amministratore disattivato

  • Amministratore eliminato

  • Amministratore SSO di Netskope eliminato

  • Netskope Support SSO abilitato

  • Netskope Support SSO disabilitato

  • Amministratore sbloccato

  • Record di amministrazione SSO modificato

  • Modifica il record di amministratore

  • Impostazioni di amministrazione aggiornate

L'attività di rete (4001) contiene i seguenti eventi:

Gli eventi di rete sono classificati utilizzando i campi record_type="network» e «action». I valori di «azione» supportati sono:

  • Consenso

  • Blocco

  • Bypass

  • Closed

  • Tempo di inattività

  • Procedere

Sono inclusi anche tutti gli eventi con il valore di /record_type = «connection».

Detection Finding (2004) contiene i seguenti eventi:

Gli avvisi vengono classificati utilizzando i campi «alert_type» e «alert», dove il valore del campo «alert» è impostato su «yes». I valori «alert_type» supportati sono:

  • Credenziale compromessa

  • Malsito

  • Malware

  • Policy

  • UBA

  • C2

Data Security Finding (2006) contiene i seguenti eventi:

  • /record_type = «alert» e /alert_type = «DLP»

  • /record_type = «incidente»

  • /record_type = «epdlp» e /type = «endpoint»

File Hosting Activity (6006) contiene i seguenti eventi:

Gli eventi applicativi vengono classificati utilizzando il campo «attività», con il valore del campo «avviso» impostato su «no». I valori di attività supportati sono:

  • Caricamento di file nel browser

  • Collega

  • Crea

  • Scarica

  • Scarica tutto

  • Scarica Installer

  • Modifica

  • Modifica rapida

  • Insert

  • Elimina

  • Elimina tutto

  • Copia

  • Sposta

  • Anteprima

  • Formshare

  • Accesso alla condivisione di file

  • Caricamento

  • Condivisione

  • Pubblica

  • Vista

  • Archive (Archivia)

  • Trasferimento di file tramite Bluetooth

  • Distacca

  • Print (Stampa)

  • Pubblica

Device Inventory Info (5001) contiene i seguenti eventi:

Tutti i log dell'infrastruttura con record_type="infrastructure».