Netskope SSE インテグレーションガイド🔗
Netskope SSEプラットフォームは、高度かつクラウド対応の脅威から保護し、あらゆるクラウド、アプリ、ユーザーにわたるデータを保護します。
以下の手順は、Netskopeを設定してSecureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Cloud Log Shipper | Taegis™ XDR Collector (mgmt IP) | TCP/601 |
Netskope の要件🔗
XDRとNetskopeのインテグレーションには、NetskopeのCloud Exchange(無償ダウンロード)の一部であるNetskopeのCloud Log Shipperが必要です。Cloud Log ShipperはAPIからログを取得し、Syslog(CEF形式)で転送します。
インテグレーションで提供されるデータ🔗
以下のNetskopeイベントタイプ(およびそれに関連するXDRスキーマ)が正規化されます。
注意
下記に記載されていないNetskopeイベントタイプは、XDRでgenericイベントとして検索できます。
- Audit (Auth)
- Compromised Credential (Thirdparty)
- Connection (Http)
- Malsite (Http)
- Malware (Antivirus)
- Network (Netflow)
- Policy (Nids)
- Remediation (Antivirus)
- UBA (Thirdparty)
- Watchlist (Thirdparty)
- WebTX (Http)
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Netskope | Auth | HTTP、Netflow | Antivirus、NIDS、Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Netskope Cloud Log Shipper の設定🔗
NetskopeドキュメントのLog Shipper Moduleの手順に従ってください。XDRインテグレーションには、このSyslog Defaults Mappingが使用されます。
以下のオプションを選択してください:
| オプション | 必須値 |
|---|---|
| Plugin | Syslog |
| Mapping | Syslog Defaults Mapping |
次の情報を入力してください:
| オプション | 必須値 |
|---|---|
| Syslog Server | XDR Collector (mgmt IP) |
| Syslog Protocol | TCP |
| Syslog Port | 601 |
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
過去24時間のauthイベントを検索するには:
`FROM auth WHERE sensor_type = 'Netskope' and EARLIEST=-24h`
nidsイベントを検索するには:
`FROM nids WHERE sensor_type = 'Netskope'`
Netskopeによって「malsite」と分類されたhttpイベントを検索するには:
`FROM http WHERE sensor_type = 'Netskope' AND original_data CONTAINS 'malsite'`
Netskopeによって「TROJAN」と分類されたantivirusイベントを検索するには:
`FROM antivirus WHERE sensor_type = 'Netskope' AND threat_category = 'TROJAN'`
イベント詳細🔗
