NetskopeのログをMicrosoft Sentinelに保管する

NetskopeのAPIキーを発行・確認する

現在(2022/7月現在)NetskopeのAPIには、v1とv2がありますが、 https://aka.ms/Sentinel-netskope-functioncode の run.ps1の中身を見るとAPIv1のため、NetskopeからAPIv1のトークンを確認します

1. Netskope管理画面にログインします
2. 下にある【Settings】をクリックします
3. 「Tools」→【REST API v1】をクリックします
4. APIキーを生成していない場合には、【GENERATE NEW TOKEN】をクリックします
5. 【SHOW】をクリックします
6. 表示されたキーを控えます

Microsoft Sentinelのデータコネクタを追加する

1. Azure Portalにログインします
2. Microsoft Sentinelを選択します
3. コネクタを追加したいワークスペースを選択します
4. 「データコネクタ」→検索欄にnetskopeと入力し、【Netskope(プレビュー)】をクリックします
5. 【コネクタページを開く】をクリックする
6. 手順2に表示されている、ワークスペースID等を控えます
7. 【Deploy to Azure】をクリックします
8. デプロイ画面が別タブで開くので、必要な値を入力していきます
   • リソースグループ
   • Workspace ID
   • Workspace Key
   • API Key
   • Uri
9. 【確認と作成】をクリックします
10. 内容を確認し問題なければ、【作成】をクリックします
11. デプロイが完了するまで待ちます
12. 完了すると、「Netskope_CL」というエンティティが作成されます

KQLを実行して確認する

Netskope端末を動作させ、しばらくまってからKQLを試しに実行してみます。 コネクタページに2つほどサンプルクエリがあるので、そちらを実行してみます。 上位10人のユーザーを検索する

Netskope_CL
| summarize count() by user_s 
| top 10 by count_

実行結果
こんな形でメールアドレスとカウントした数が表示されればOKです。

SIEMにログがたまりはじめるので、あとはここから必要な情報を検索して、アラートやインシデントにする等をしていく形ですね。
SOARとか色々とやっていきたいところ