本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Netskope 的來源組態
與 Netskope 整合
Netskope 是一種雲端原生 Security Service Edge (SSE) 和 SASE 平台,可為雲端服務、網站和私有應用程式提供即時資料和威脅防護。CloudWatch Pipeline 使用 Netskope REST API v2 端點,從您的 Netskope 租用戶擷取安全事件和提醒。REST API v2 可透過每個日誌類型的專用端點存取安全事件和提醒日誌:應用程式、頁面、網路、基礎設施、稽核、事件、端點和提醒。警示日誌涵蓋各種警示類型的威脅偵測和政策違規,例如 DLP、惡意軟體、錯誤網站、政策、遭入侵的登入資料和 UBA。
使用 Netskope 驗證
若要讀取 Netskope 事件和提醒日誌,管道需要使用 RBACv3 架構下透過服務帳戶發出的 REST API v2 權杖,與您的租戶進行身分驗證。請依照下列步驟建立服務帳戶並產生 API 字符:
在 https://https://<your-tenant>.goskope.com 登入您的 Netskope 管理員主控台。
導覽至設定 > 管理 > 管理員和角色。
選擇角色索引標籤,然後選擇建立角色。
輸入角色名稱 (例如,「CloudWatch-API-Role」),並設定下列功能區域許可:
轉向:應用程式事件、頁面事件、網路事件、基礎設施事件、事件事件、端點事件、提醒 — 全部設定為檢視。
管理:稽核日誌 — 設定為檢視。
存取控制:基礎設施 — 設定為檢視。
DLP:DLP 事件 — 設定為檢視。
選擇儲存以建立角色。
選擇管理員索引標籤,然後選擇服務帳戶按鈕。
選擇新服務帳戶並設定:
服務帳戶名稱:輸入描述性名稱 (例如,「CloudWatch-Collector」)。
角色:選取在步驟 5 中建立的角色 (例如,「CloudWatch-API-Role」)。
過期時間:設定適當的過期期間 (例如 365 天)。
選擇建立。對話方塊會顯示產生的 REST API 字符。立即複製此字符 — 不會再次顯示。
在 中, AWS Secrets Manager建立秘密並存放 API 字符。
設定 CloudWatch 管道
設定管道從 Netskope 讀取事件和警示日誌時,請選擇 Netskope 作為資料來源。填寫必要資訊,例如您的租戶主機名稱,以及存放 api_token 之登入資料的 AWS Secrets Manager 秘密 ARN。建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。
支援的開放式網路安全結構描述架構事件類別
此整合支援 OCSF 結構描述版本 v1.5.0,並轉換下列對應至身分驗證 (3002)、實體管理 (3004)、帳戶變更 (3001)、網路活動 (4001)、偵測調查結果 (2004)、資料安全調查結果 (2006)、檔案託管活動 (6006) 和裝置庫存資訊 (5001) 的事件。未列出但提取的事件不會映射到 OCSF,並將作為原始日誌轉送到接收器。
驗證 (3002) 包含來自兩種事件類型的下列事件:
應用程式事件,使用「活動」欄位。支援的活動值為:
登入嘗試
登入失敗
登入成功
登出
其他包含關鍵字「登入」的事件
稽核事件,使用「audit_log_event」欄位。支援的 audit_log_event 值為:
登入失敗
登入成功
成功登出
SSO 登入失敗
SSO 登入成功
Netskope 支援的 SSO 登入成功
Netskope 支援的 SSO 登入失敗
管理員因為連續登入失敗而登出
實體管理 (3004) 包含來自稽核事件的下列事件:
建立新的內嵌政策
設定專用輸出 IP 政策
建立新的 rbi 範本
建立新的通道群組
建立新的自我檢查政策
已建立新一代 CASB API 執行個體
建立新的新一代 CASB API 政策
已建立新一代 CASB API 回溯掃描
編輯的內嵌政策
更新內嵌政策的預設動作
編輯的 rbi 範本
編輯的通道群組
編輯自我檢查政策記錄
已更新新一代 CASB API 執行個體
編輯的新一代 CASB API 政策
已編輯新一代 CASB API 回溯掃描
已刪除內嵌政策
已刪除的 rbi 範本
已刪除的通道群組
已刪除的自我檢查政策
已刪除新一代 CASB API 執行個體
刪除的新一代 CASB API 政策
已刪除新一代 CASB API 回溯掃描
推送的內嵌政策
推送的 rbi 範本
推送的通道群組
套用的 Phoenix 政策記錄 (s)
推送的自我檢查政策
推送的新一代 CASB API 政策
新一代 CASB API 回溯掃描已停止
新一代 CASB API 回溯掃描已暫停
帳戶變更 (3001) 包含來自稽核事件的下列事件:
建立新的管理員
新增 SSO 管理員
建立新的支援管理員
啟用的管理員
密碼變更失敗嘗試
密碼變更成功
重設密碼
停用的管理員
已刪除的管理員
已刪除的 Netskope SSO 管理員
啟用的 Netskope 支援 SSO
已停用的 Netskope 支援 SSO
解除鎖定的管理員
編輯的 SSO 管理員記錄
編輯管理員記錄
已更新管理員設定
網路活動 (4001) 包含下列事件:
網路事件是使用 record_type="network" 和 "action" 欄位進行分類。支援的「動作」值為:
允許
區塊
略過
Closed
閒置逾時
繼續
也會包含值為 /record_type = "connection" 的所有事件。
Detection Finding (2004) 包含下列事件:
提醒是使用 "alert_type" 和 "alert" 欄位分類,其中 "alert" 欄位值設定為 "yes"。支援的 "alert_type" 值為:
已遭入侵的登入資料
異地
惡意軟體
政策
UBA
C2
Data Security Finding (2006) 包含下列事件:
/record_type = "alert" 和 /alert_type = "DLP"
/record_type = "incident"
/record_type = "epdlp" 和 /type = "endpoint"
檔案託管活動 (6006) 包含下列事件:
應用程式事件是使用「活動」欄位進行分類,而「提醒」欄位值設為「否」。支援的活動值為:
瀏覽器檔案上傳
連接
建立
下載
全部下載
下載安裝程式
編輯
快速編輯
Insert
刪除
全部刪除
Copy (複製)
Move (移動)
預覽版
Formshare
檔案共用存取
上傳
Share (分享)
貼文
檢視
存檔
藍牙檔案傳輸
分離
Print (列印)
發布
裝置庫存資訊 (5001) 包含下列事件:
record_type="infrastructure" 的所有基礎設施日誌。