Netskope SSE インテグレーションガイド🔗
Netskope SSEプラットフォームは、高度かつクラウド対応の脅威から保護し、あらゆるクラウド、アプリ、ユーザーにわたるデータを保護します。
以下の手順は、Netskopeを設定してSecureworks® Taegis™ XDRへのログ取り込みを実現するためのものです。
接続要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Cloud Log Shipper | Taegis™ XDR Collector (mgmt IP) | TCP/601 |
Netskopeの要件🔗
XDRとNetskopeのインテグレーションには、NetskopeのCloud Log Shipperが必要です。これはNetskopeのCloud Exchange(無償ダウンロード)に含まれています。Cloud Log ShipperはAPIからログを取得し、Syslog(CEF形式)で転送します。
インテグレーションから提供されるデータ🔗
以下のNetskopeイベントタイプ(および対応するXDRスキーマ)が正規化されます。
注意
下記に記載されていないNetskopeイベントタイプも、XDRでgenericイベントとして検索できます。
- Audit (Auth)
- Compromised Credential (Thirdparty)
- Connection (Http)
- Malsite (Http)
- Malware (Antivirus)
- Network (Netflow)
- Policy (Nids)
- Remediation (Antivirus)
- UBA (Thirdparty)
- Watchlist (Thirdparty)
- WebTX (Http)
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Netskope | Auth | HTTP, Netflow | Antivirus, NIDS, Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Netskope Cloud Log Shipperの設定🔗
NetskopeドキュメントのLog Shipper Moduleの手順に従ってください。XDRインテグレーションには、このSyslog Defaults Mappingを使用します。
以下のオプションを選択してください。
| オプション | 必須値 |
|---|---|
| Plugin | Syslog |
| Mapping | Syslog Defaults Mapping |
次の情報を入力してください。
| オプション | 必須値 |
|---|---|
| Syslog Server | XDR Collector (mgmt IP) |
| Syslog Protocol | TCP |
| Syslog Port | 601 |
クエリ言語を用いた詳細検索🔗
クエリ言語検索の例🔗
過去24時間のauthイベントを検索する場合:
`FROM auth WHERE sensor_type = 'Netskope' and EARLIEST=-24h`
nidsイベントを検索する場合:
`FROM nids WHERE sensor_type = 'Netskope'`
Netskopeで「malsite」と分類されたhttpイベントを検索する場合:
`FROM http WHERE sensor_type = 'Netskope' AND original_data CONTAINS 'malsite'`
Netskopeで「TROJAN」と分類されたantivirusイベントを検索する場合:
`FROM antivirus WHERE sensor_type = 'Netskope' AND threat_category = 'TROJAN'`
イベント詳細🔗
