View a markdown version of this page

Netskope 的來源組態 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Netskope 的來源組態

與 Netskope 整合

Netskope 是一種雲端原生 Security Service Edge (SSE) 和 SASE 平台,可為雲端服務、網站和私有應用程式提供即時資料和威脅防護。CloudWatch Pipeline 使用 Netskope REST API v2 端點,從您的 Netskope 租用戶擷取安全事件和提醒。REST API v2 可透過每個日誌類型的專用端點存取安全事件和提醒日誌:應用程式、頁面、網路、基礎設施、稽核、事件、端點和提醒。警示日誌涵蓋各種警示類型的威脅偵測和政策違規,例如 DLP、惡意軟體、錯誤網站、政策、遭入侵的登入資料和 UBA。

使用 Netskope 驗證

若要讀取 Netskope 事件和提醒日誌,管道需要使用 RBACv3 架構下透過服務帳戶發出的 REST API v2 權杖,與您的租戶進行身分驗證。請依照下列步驟建立服務帳戶並產生 API 字符:

  1. 在 https://https://<your-tenant>.goskope.com 登入您的 Netskope 管理員主控台。

  2. 導覽至設定 > 管理 > 管理員和角色

  3. 選擇角色索引標籤,然後選擇建立角色

  4. 輸入角色名稱 (例如,「CloudWatch-API-Role」),並設定下列功能區域許可:

    • 轉向:應用程式事件、頁面事件、網路事件、基礎設施事件、事件事件、端點事件、提醒 — 全部設定為檢視。

    • 管理:稽核日誌 — 設定為檢視。

    • 存取控制:基礎設施 — 設定為檢視。

    • DLP:DLP 事件 — 設定為檢視。

  5. 選擇儲存以建立角色。

  6. 選擇管理員索引標籤,然後選擇服務帳戶按鈕。

  7. 選擇新服務帳戶並設定:

    • 服務帳戶名稱:輸入描述性名稱 (例如,「CloudWatch-Collector」)。

    • 角色:選取在步驟 5 中建立的角色 (例如,「CloudWatch-API-Role」)。

    • 過期時間:設定適當的過期期間 (例如 365 天)。

  8. 選擇建立。對話方塊會顯示產生的 REST API 字符。立即複製此字符 — 不會再次顯示。

  9. 在 中, AWS Secrets Manager建立秘密並存放 API 字符。

設定 CloudWatch 管道

設定管道從 Netskope 讀取事件和警示日誌時,請選擇 Netskope 作為資料來源。填寫必要資訊,例如您的租戶主機名稱,以及存放 api_token 之登入資料的 AWS Secrets Manager 秘密 ARN。建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援 OCSF 結構描述版本 v1.5.0,並轉換下列對應至身分驗證 (3002)、實體管理 (3004)、帳戶變更 (3001)、網路活動 (4001)、偵測調查結果 (2004)、資料安全調查結果 (2006)、檔案託管活動 (6006) 和裝置庫存資訊 (5001) 的事件。未列出但提取的事件不會映射到 OCSF,並將作為原始日誌轉送到接收器。

驗證 (3002) 包含來自兩種事件類型的下列事件:

應用程式事件,使用「活動」欄位。支援的活動值為:

  • 登入嘗試

  • 登入失敗

  • 登入成功

  • 登出

  • 其他包含關鍵字「登入」的事件

稽核事件,使用「audit_log_event」欄位。支援的 audit_log_event 值為:

  • 登入失敗

  • 登入成功

  • 成功登出

  • SSO 登入失敗

  • SSO 登入成功

  • Netskope 支援的 SSO 登入成功

  • Netskope 支援的 SSO 登入失敗

  • 管理員因為連續登入失敗而登出

實體管理 (3004) 包含來自稽核事件的下列事件:

  • 建立新的內嵌政策

  • 設定專用輸出 IP 政策

  • 建立新的 rbi 範本

  • 建立新的通道群組

  • 建立新的自我檢查政策

  • 已建立新一代 CASB API 執行個體

  • 建立新的新一代 CASB API 政策

  • 已建立新一代 CASB API 回溯掃描

  • 編輯的內嵌政策

  • 更新內嵌政策的預設動作

  • 編輯的 rbi 範本

  • 編輯的通道群組

  • 編輯自我檢查政策記錄

  • 已更新新一代 CASB API 執行個體

  • 編輯的新一代 CASB API 政策

  • 已編輯新一代 CASB API 回溯掃描

  • 已刪除內嵌政策

  • 已刪除的 rbi 範本

  • 已刪除的通道群組

  • 已刪除的自我檢查政策

  • 已刪除新一代 CASB API 執行個體

  • 刪除的新一代 CASB API 政策

  • 已刪除新一代 CASB API 回溯掃描

  • 推送的內嵌政策

  • 推送的 rbi 範本

  • 推送的通道群組

  • 套用的 Phoenix 政策記錄 (s)

  • 推送的自我檢查政策

  • 推送的新一代 CASB API 政策

  • 新一代 CASB API 回溯掃描已停止

  • 新一代 CASB API 回溯掃描已暫停

帳戶變更 (3001) 包含來自稽核事件的下列事件:

  • 建立新的管理員

  • 新增 SSO 管理員

  • 建立新的支援管理員

  • 啟用的管理員

  • 密碼變更失敗嘗試

  • 密碼變更成功

  • 重設密碼

  • 停用的管理員

  • 已刪除的管理員

  • 已刪除的 Netskope SSO 管理員

  • 啟用的 Netskope 支援 SSO

  • 已停用的 Netskope 支援 SSO

  • 解除鎖定的管理員

  • 編輯的 SSO 管理員記錄

  • 編輯管理員記錄

  • 已更新管理員設定

網路活動 (4001) 包含下列事件:

網路事件是使用 record_type="network" 和 "action" 欄位進行分類。支援的「動作」值為:

  • 允許

  • 區塊

  • 略過

  • Closed

  • 閒置逾時

  • 繼續

也會包含值為 /record_type = "connection" 的所有事件。

Detection Finding (2004) 包含下列事件:

提醒是使用 "alert_type" 和 "alert" 欄位分類,其中 "alert" 欄位值設定為 "yes"。支援的 "alert_type" 值為:

  • 已遭入侵的登入資料

  • 異地

  • 惡意軟體

  • 政策

  • UBA

  • C2

Data Security Finding (2006) 包含下列事件:

  • /record_type = "alert" 和 /alert_type = "DLP"

  • /record_type = "incident"

  • /record_type = "epdlp" 和 /type = "endpoint"

檔案託管活動 (6006) 包含下列事件:

應用程式事件是使用「活動」欄位進行分類,而「提醒」欄位值設為「否」。支援的活動值為:

  • 瀏覽器檔案上傳

  • 連接

  • 建立

  • 下載

  • 全部下載

  • 下載安裝程式

  • 編輯

  • 快速編輯

  • Insert

  • 刪除

  • 全部刪除

  • Copy (複製)

  • Move (移動)

  • 預覽版

  • Formshare

  • 檔案共用存取

  • 上傳

  • Share (分享)

  • 貼文

  • 檢視

  • 存檔

  • 藍牙檔案傳輸

  • 分離

  • Print (列印)

  • 發布

裝置庫存資訊 (5001) 包含下列事件:

record_type="infrastructure" 的所有基礎設施日誌。