Netskope
Netskope是一个云安全平台,可以识别与云服务使用和恶意软件事件相关的各种事件。InsightIDR支持以下警告和事件类型从Netskope,通过Syslog:
- 异常
- DLP
- 恶意软件
- 政策
- 妥协的凭据
- Malsite
- 检疫
- 修复
- 安全评估
- 应用程序
- 页面
- 审计
- 网络
建立Netskope:
- 审查<一个href="#before-you-begin">在你开始之前并注意任何要求。
- 在InsightIDR中设置事件源.
- 验证配置是否有效.
在你开始之前
Netskope与Insight IDR的集成是通过Cloud Logs Shipper实现的,它从它们的api中提取日志,并以CEF格式通过Syslog转发它们。为了配置此事件源,您需要联系Netskope帐户团队以获得Cloud Log Shipper。
在InsightIDR中设置Netskope
- 从左边的菜单,转到数据收集.
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从Third Party Alerts部分中,单击Netskope图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果您正在发送警报之外的其他事件,请选择<一个href="//www.gcpym.com/insightidr/log-collection-and-storage">未经过滤的日志复选框。
- 在采集器上指定一个可以接收转发Netskope事件的未使用端口。
- 选择设置Netskope时使用的协议。TCP是它们的默认协议。
- 点击保存.
验证配置
完成以下步骤以查看日志,并确保事件被发送到Collector。
- 在左侧菜单中,单击Log Search以查看原始日志,以确保事件进入Collector。选择适用的日志集和其中的日志名称。日志名称将是事件源名称。Netskope的日志流入以下日志集:
- 第三方通知
- Web代理活动
- 病毒警报
- 病毒感染
- 进入认证
- 防火墙的活动
- 接下来,单击左侧菜单中的Log Search以确保Netskope事件通过。
日志至少需要7分钟才能出现在“日志搜索”中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
由InsightIDR生成的告警
InsightIDR生成如下内容<一个href="//www.gcpym.com/insightidr/alerts/">内置的非洲联合银行警报对于这个事件源:
- 帐户访问可疑链接
- 第一个进入身份验证从国家
- 收获的凭证
- 从密码永不过期的帐户进入
- 来自社区的威胁
- 从禁用的帐户进入
- 从域管理员进入
- 从服务帐户进入
- 进入的威胁
- 多个国家认证
- 网络访问威胁
- 鱼叉钓鱼URL检测
- 第三方警报- netskope
- 病毒警报
示例日志
下面是在InsightIDR日志搜索中出现的Netskope事件的一些示例。
异常
JSON
1
T1590588553258<14>可能2714:09:19知识产权-10-0-0-116年欧共体语言教学大纲的:0| Netskope | sedemo零| | |异常接近高| | anomalyEventType =接近cci =89ccl dst = =高104.18.103.56
2
requestClientApplication src = =盒子sourceServiceName =框173.75.129.162suse = name.com timestamp =1590527456url = mynetskopedemo.app.box.com
DLP
JSON
1
T1590588539708<14>可能2714:09:06知识产权-10-0-0-116年欧共体语言教学大纲的:0零| | Netskope | sedemo | DLP |[上下文DLP]低严重程度PII Warn|Low|accessMethod=Client act=Upload
2
appcategory=Cloud Storage browser=Chrome cci=94ccl=excellent device=Mac device devicecclassification =managed deviceExternalId=A89D093B-44年一个0——一个5 e5-50年B7-98年EDD6 e0沛富0
3.
dlpFile=PII -匹配计数14.xlsx dlpIncidentId =6975643144850582428dlpProfile =低严重性- dlpRule = Low-Sev-US-SSN-Name个人身份信息
4
dlpRuleCount =14dst =13.107.136.9fsize =10697hostname=Matt MacBook Pro instanceId=mynetskopedemo managementId=A1DB28 e458555C0神奇动物7B800交流6双相障碍4F9C0
5
医学博士5=992305 e037f6560df0d1b8500制定了1df object=PII -匹配计数14.xlsx os = =卡特琳娜政策[上下文DLP]低严重性PII警告requestClientApplication=微软
6
办公室365一个驱动的商业sha256=856艾德8085753868 e162e9883381104bfedaa3.f7781一个0b518136686feecad9488sourceServiceName =微软办公365OneDrive为
7
业务src =162.230.81.248suse = name.com timestamp =1590585443url = mynetskopedemo
8
my.sharepoint.com/personal/netskopese_mynetskopedemo_com/_api/web/GetFolderById (@a1) /文件/ AddUsingPath (DecodedUrl \ = @a2,覆盖\ = @a3.,AutoCheckoutOnInvalidData \ =
9
一个4)
恶意软件
JSON
1
T1590588648155<14>可能2714:10:54知识产权-10-0-0-116年欧共体语言教学大纲的:0| Netskope | sedemo零恶意软件| | | Gen.Malware.Detect.By。高StHeur | | accessMethod =客户行为=下载
2
action=Detection appcategory=n/a browser=Chrome cci=零ccl=unknown device=Windows device dst=216.239.38.21fsize =302医学博士5=87922加拿大广播公司19d3 e0def4d13aa5467足总9b2
3.
mwDetectionEngine=Netskope Advanced Heuristic Analysis mwDetectionName=Gen.Malware.Detect.By. mwDetectionEngine=Netskope Advanced Heuristic AnalysisStHeur mwDetectionType mwId = =病毒24cd26f41427b1d1神奇动物4d69年e9b121932e
4
恶意mwType mwScannerResult = = =病毒对象6Windows操作系统=10推荐人= http:/ / netskopesecuritycheck.com/ requestClientApplication = netskopesecuritycheck
5
sourceServiceName = netskopesecuritycheck src =204.195.59.80suse = name.com timestamp =1590523425url = netskopesecuritycheck.com/tests/execute/6
政策
JSON
1
T1590588533255<14>可能2714:08:59知识产权-10-0-0-116年欧共体语言教学大纲的:0| Netskope | sedemo零政策| | |[AccessControl]-阻止登录到未经批准的SaaS
2
实例|accessMethod=Client act=Login Attempt action=block appcategory=Cloud Storage browser=Chrome device=Mac device devicecclassid =managed . appcategory=Cloud Storage browser=Chrome device=Mac device= managed . appcategory=Cloud Storage browser=Chrome device=Mac device
3.
deviceExternalId =一个89D093B-44年一个0——一个5 e5-50年B7-98年EDD6 e0沛富0dst =162.125.3.1hostname=Matt macbookpro managementId=A1DB28 e458555C0神奇动物7B800交流6双相障碍4F9C0操作系统=卡特琳娜政策
4
[AccessControl]-阻止登录非授权SaaS实例referer=https:/ / www.dropbox.com/login ? src \ =注销requestClientApplication = Dropbox
5
sourceServiceName = Dropbox src =162.230.81.248suse = name.com timestamp =1590586365url = www.dropbox.com/ajax_login
妥协的凭据
JSON
1
2020-09年-11年T15:27:07+00:00知识产权-10-0-0-87年欧共体语言教学大纲的:0| Netskope | qadp01零| |妥协凭据| ExploitIN800M -部分25| |低ccBreachDate =1592438400
2
ccBreachMediaReferences =零ccBreachScore =40CSV ccMatchedUsername ccEmailSource = = = name.com时间戳1599133208
Malsite
JSON
1
<14> 6月0516:22:49知识产权-10-0-0-116年欧共体语言教学大纲的:0零| | Netskope | sedemo | malsite | mtron。in|Medium|accessMethod=Client action=block appcategory=违禁网站
2
浏览器=Chrome设备=Windows设备设备分类=unmanaged dst=45.114.142.143主机名= IP-C0一个84625ms_app_session_id =3134360458668230443ms_category
3.
[“钓鱼网站”]ms_id =108cc1176c66dd0f59 e718fc ms_malicious=yes ms_match_field=domain ms_page=mtron.in/images/favicon.ico os=Windows Server . fc ms_malicious=yes ms_match_field=domain ms_page=mtron.in/images/favicon.ico2016政策
4
[NetskopeForWeb]阻止违反AUP的站点sourceServiceName=mtron src=35.167.150.121suse = name.com.com timestamp =1591373686
5
url = mtron.in /图片/ ico。位于
检疫
JSON
1
T1590588648735<14>可能2714:10:55知识产权-10-0-0-116年欧共体语言教学大纲的:0|Netskope|sedemo|NULL|quarantine|DICOM Detection|High|accessMethod=Client act=Upload appcategory=Cloud
2
存储浏览器Chrome cci = =80ccl=high device=Mac device deviceClassification=managed deviceExternalId=1一个5 e8B7 e 1D18-0B21-1164年-829450年儿1F9dst =162.125.2.6
3.
fsize =15774主机名= Ashutosh \ \ u2019年代MacBook Pro15managementId =0 e6ADAF5 e61B51D4一个37C534071F9电子商务84医学博士5=8交流692英孚2cc78adfc523188 e54d52933对象= PII SSN大
4
v3.xlsx os=Mojave policy=DICOM Detection q_transaction_id=3021013883821793546requestClientApplication = Dropbox sourceServiceName = Dropbox src =73.92.72.30
5
suse = name.com timestamp =1588884900
修复
JSON
1
T1590588547021<14>可能2714:09:13知识产权-10-0-0-116年欧共体语言教学大纲的:0| Netskope | sedemo零| | |补救措施零|High|accessMethod=API Connector act=Introspection Scan action=alert
2
云存储cci appcategory = =94ccl =优秀dst =13.107.136.9fsize =46744医学博士5= ab9bb7c4b0f50907f5b30 e4b1一个9d9是1应用程序/八进制mimeType =
3.
mwDetectionName =赢64.Hacktool。Mimikatz mwId =是3983498cc7一个1c021f87b185年e99ece4对象= C.exe r_app_session_id =116085447250174requestClientApplication =微软
4
办公室365OneDrive for Business sourceServiceName=Microsoft Office365OneDrive for Business suser=name@email.com timestamp=1588952849
5
url = https:/ / mynetskopedemo-my.sharepoint.com/personal/netskopese_mynetskopedemo_com/Documents/MYee/Threats/C.exe
安全评估
JSON
1
<14> 4月1713:03:08知识产权-10-0-0-116年欧共体语言教学大纲的:0| | Netskope | sedemo零| |安全评估PCI-AWS \ |10.2.4对所有系统组件实施自动审计跟踪:年代3.
2
bucket Lack Versioning|High|accessMethod=API Connector act=Introspection Scan action=alert appcategory=IaaS/PaaS browser=unknown cci=96ccl =优秀
3.
instanceId=MynetskopeDemo AWS object=scarberry os=unknown policy=AWS CSA Scanning requestClientApplication=Amazon Web Services sa_account_id=332671050434
4
sa_asset_object_id =54 e4130facd45c5394一个876c9sa_asset_tags =零sa_profile_name = pci dss v3.2.1(AWS) sa_rule_name = PCI-AWS |10.2.4实现自动审计跟踪
5
对于所有系统组件:年代3.Buckets Lack Versioning sa_rule_remediation=\\n \\n 执行以下命令配置S3.桶版本< / b > \ \ n
6
Via CLI \\n 用相应的AWS S替换
3.桶< / p > \ \ n < p > aws3.API的桶版本控制——桶 -
7
versioning-configuration{“状态”:“启用”}\\n\\n\\n sourceServiceName=Amazon Web Services suser=name@email.com timestamp=1586996613
应用程序
JSON
1
2020-09年-11年T15:28:47+00:00知识产权-10-0-0-87年欧共体语言教学大纲的:0| Netskope | sedemo零应用零| | | | |未知appSessionId =4127238491198687592appcategory =合作
2
浏览器=本机cci =87ccl=high device=Mac device dst=54.87.197.95os=Catalina requestClientApplication=Slack sourceServiceName=Slack src=73.246.13.110
3.
suse = name.com timestamp =1599837613url = netskope.slack.com/api/chat.postMessage
页面
JSON
1
<14> 4月1713:03:18知识产权-10-0-0-116年欧共体语言教学大纲的:0| Netskope | sedemo零页面| | |零| |未知appcategory =安全浏览器Chrome cci = =零ccl =未知clientBytes =277637
2
设备= Windows设备dst =176.32.118.124Windows操作系统=10页面=美国西1。console.aws.amazon.com/ec2/ v2/ home pageEndtime =1587125569pageId =1356694626260201523
3.
pageStarttime =1587125518AWS公里serverBytes requestClientApplication = =314509sourceServiceName = AWS公里src =139.167.149.156suse = name.com
4
时间戳=1587125503url =美国西1。console.aws.amazon.com/ec2/ v2/家庭
审计
JSON
1
2020-09年-11年T15:29:12+00:00知识产权-10-0-0-87年欧共体语言教学大纲的:0| Netskope | qadp01零审计零| | | | |低auditLogEvent = auditType = admin_audit_logs注销成功
2
suse = name.com timestamp =1599837436
网络
JSON
1
2020-09年-11年T15:29:44+00:00知识产权-10-0-0-87年欧共体语言教学大纲的:0| Netskope | qadp01零网络零| | | | |未知行动=允许cci =零ccl =未知clientBytes =1891clientPackets =2
2
设备= Windows dpt =443dst =零结束=2020-09年-10T15:21:59+00:00networkSessionId =1495164501操作系统Windows osVersion = =10.0(2004) policy=DWalker NPA谷歌proto=Http
3.
requestClientApplication =172.217.7.206requestMethod客户机serverBytes = =2308serverPackets =4sessionDuration =259年代shost = ns-8127年。us-sjc1.npa.goskope.com
4
sourceServiceName =172.217.7.206spt =16src =10.120.109.64开始=2020-09年-10T15:17:40+00:00suse = name.com timestamp =1599751379trafficType = PrivateApp
5
tunnelId =1495164501tunnelType = NPA tunnelUpTime =259
这个页面对你有帮助吗?