NetskopeのログをMicrosoft Sentinelに保管する

API v2利用に変更になったようです。この記事をそのまま実行してもログが送信されませんのでご注意ください

NetskopeのAPIキーを発行・確認する

現在(2022/7月現在)NetskopeのAPIには、v1とv2がありますが、 https://aka.ms/Sentinel-netskope-functioncode の run.ps1の中身を見るとAPIv1のため、NetskopeからAPIv1のトークンを確認します

  1. Netskope管理画面にログインします
  2. 下にある【Settings】をクリックします
  3. 「Tools」→【REST API v1】をクリックします
  4. APIキーを生成していない場合には、【GENERATE NEW TOKEN】をクリックします
  5. 【SHOW】をクリックします
  6. 表示されたキーを控えます
目次

Microsoft Sentinelのデータコネクタを追加する

  1. Azure Portalにログインします
  2. Microsoft Sentinelを選択します
  3. コネクタを追加したいワークスペースを選択します
  4. 「データコネクタ」→検索欄にnetskopeと入力し、【Netskope(プレビュー)】をクリックします
  5. 【コネクタページを開く】をクリックする
  6. 手順2に表示されている、ワークスペースID等を控えます
  7. 【Deploy to Azure】をクリックします
  8. デプロイ画面が別タブで開くので、必要な値を入力していきます
    • リソースグループ
    • Workspace ID
    • Workspace Key
    • API Key
    • Uri
  9. 【確認と作成】をクリックします
  10. 内容を確認し問題なければ、【作成】をクリックします
  11. デプロイが完了するまで待ちます
  12. 完了すると、「Netskope_CL」というエンティティが作成されます

KQLを実行して確認する

Netskope端末を動作させ、しばらくまってからKQLを試しに実行してみます。 コネクタページに2つほどサンプルクエリがあるので、そちらを実行してみます。 上位10人のユーザーを検索する

Netskope_CL
| summarize count() by user_s 
| top 10 by count_

実行結果
こんな形でメールアドレスとカウントした数が表示されればOKです。

SIEMにログがたまりはじめるので、あとはここから必要な情報を検索して、アラートやインシデントにする等をしていく形ですね。
SOARとか色々とやっていきたいところ

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次