Netskope
Netskope是一个云安全平台,用于识别与云服务使用和恶意软件事件相关的各种事件。InsightIDR通过Syslog支持Netskope提供的以下警报和事件类型:
- 异常
- DLP
- 恶意软件
- 政策
- 妥协的凭据
- Malsite
- 隔离期
- 修复
- 安全评估
- 应用程序
- 页
- 审计
- 网络
建立Netskope:
- 回顾<一个href="#before-you-begin">在你开始之前并注意任何要求。
- 在InsightIDR中设置事件源.
- 验证配置是否有效.
在你开始之前
Netskope与Insight IDR的集成由Cloud Logs Shipper实现,它从API中提取日志,并通过Syslog以CEF格式转发。为了配置此事件源,您需要联系Netskope帐户团队以获取云日志。
在InsightIDR中设置Netskope
- 从左侧菜单,转到数据收集.
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从第三方警报部分,单击Netskope图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果要发送警报以外的其他事件,请选择<一个href="//www.gcpym.com/insightidr/log-collection-and-storage">未经过滤的日志复选框。
- 在采集器上指定一个可以接收转发Netskope事件的未使用端口。
- 选择设置Netskope时使用的协议。TCP是他们的默认协议。
- 点击保存.
验证配置
完成以下步骤以查看日志,并确保事件已发送到收集器。
- 在左侧菜单中,单击Log Search以查看原始日志,以确保事件进入Collector。选择适用的日志集和其中的日志名称。日志名称将是事件源名称。Netskope的日志流入以下日志集:
- 第三方警报
- Web代理活动
- 病毒警报
- 病毒感染
- 入口认证
- 防火墙活动
- 接下来,单击左侧菜单中的Log Search以确保Netskope事件通过。
日志至少需要7分钟才能显示在日志搜索中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
由InsightIDR生成的告警
InsightIDR生成以下内容<一个href="//www.gcpym.com/insightidr/alerts/">内置的非洲联合银行警报对于这个事件源:
- 账户访问可疑链接
- 第一个进入身份验证从国家
- 收获的凭证
- 从密码永不过期的帐户进入
- 来自社区的威胁
- 从禁用的帐户进入
- 从域管理员进入
- 从服务帐户进入
- 免受威胁
- 多个国家认证
- 网络访问威胁
- 检测到Spear网络钓鱼URL
- 第三方警报- netskope
- 病毒警报
样本日志
下面是在InsightIDR日志搜索中出现的Netskope事件的一些示例。
异常
JSON
1
T1590588553258<14>五月2714:09:19知识产权-10-0-0-116头孢:0| Netskope | sedemo零| | |异常接近高| | anomalyEventType =接近cci =89ccl=高dst=104.18.103.56
2
requestClientApplication=Box sourceServiceName=Box src=173.75.129.162苏瑟=name@email.com时间戳=1590527456url = mynetskopedemo.app.box.com
DLP
JSON
1
T1590588539708<14>五月2714:09:06知识产权-10-0-0-116头孢:0|Netskope | sedemo | NULL | DLP|[上下文DLP]低严重程度PII Warn|Low|accessMethod=Client act=Upload
2
appcategory=Cloud Storage browser=Chrome cci=94ccl=excellent device=Mac device devicecclassification =managed deviceExternalId=A89D093B-44一个0——一个5E5-50B7-98年埃迪6E0ABF0
3.
dlpFile=PII-匹配计数14.xlsx dlpIncidentId =6975643144850582428dlpProfile=低严重性-个人识别信息dlpRule=低服务美国SSN名称
4
dlpRuleCount =14dst=13.107.136.9fsize=10697hostname=Matt MacBook Pro instanceId=mynetskopedemo managementId=A1DB28E458555C0神奇动物7B800交流6双相障碍4F9C0
5
医学博士5=992305 e037f6560df0d1b8500制定了1df对象=PII-匹配计数14.xlsx os=Catalina策略=[上下文DLP]低严重性PII警告requestClientApplication=微软
6
办公室365OneDrive for Business sha256=856艾德8085753868e162e9883381104贝贝达3.f7781一个0b518136686feecad9488sourceServiceName =微软办公365OneDrive为
7
商务src=162.230.81.248苏瑟=name@email.com时间戳=1590585443url = mynetskopedemo
8
my.sharepoint.com/personal/netskopese_mynetskopedemo_com/_api/web/GetFolderById(@a1)/文件/AddUsingPath(DecodedUrl\=@a2,覆盖\ = @a3.,AutoCheckoutOnInvalidData \ =
9
一个4)
恶意软件
JSON
1
T1590588648155<14>五月2714:10:54知识产权-10-0-0-116头孢:0| Netskope | sedemo零恶意软件| | | Gen.Malware.Detect.By。高StHeur | | accessMethod =客户行为=下载
2
动作=检测应用类别=不适用浏览器=Chrome cci=零ccl=unknown device=Windows device dst=216.239.38.21fsize=302医学博士5=87922cbc19d3e0def4d13aa5467足总9b2
3.
mwDetectionEngine=Netskope Advanced Heuristic Analysis mwDetectionName=Gen.Malware.Detect.By. mwDetectionEngine=Netskope Advanced Heuristic AnalysisStHeur mwDetectionType mwId = =病毒24光盘26f41427b1d1神奇动物4d69年e9b121932e
4
恶意mwType mwScannerResult = = =病毒对象6os=Windows10referer=http:/ / netskopesecuritycheck.com/ requestClientApplication = netskopesecuritycheck
5
sourceServiceName=netskopesecuritycheck src=204.195.59.80苏瑟=name@email.com时间戳=1590523425url=netskopesecuritycheck.com/tests/execute/6
政策
JSON
1
T1590588533255<14>五月2714:08:59知识产权-10-0-0-116头孢:0| Netskope | sedemo零政策| | |[AccessControl]-阻止登录到未经批准的SaaS
2
实例|accessMethod=Client act=Login Attempt action=block appcategory=Cloud Storage browser=Chrome device=Mac device devicecclassid =managed . appcategory=Cloud Storage browser=Chrome device=Mac device= managed . appcategory=Cloud Storage browser=Chrome device=Mac device
3.
deviceExternalId=A89D093B-44一个0——一个5E5-50B7-98年埃迪6E0ABF0dst=162.125.3.1hostname=Matt MacBook Pro managementId=A1DB28E458555C0神奇动物7B800交流6双相障碍4F9C0操作系统=卡特琳娜政策
4
[AccessControl]-阻止登录非授权SaaS实例referer=https://www.dropbox.com/login?src\=注销请求clientapplication=dropbox
5
sourceServiceName = Dropbox src =162.230.81.248苏瑟=name@email.com时间戳=1590586365url = www.dropbox.com/ajax_login
妥协的凭据
JSON
1
2020-09-11T15:27:07+00:00知识产权-10-0-0-87头孢:0| Netskope | qadp01零| |妥协凭据| ExploitIN800M -部分25| |低ccBreachDate =1592438400
2
ccBreachMediaReferences =零ccBreachScore =40ccEmailSource=CSV ccMatchedUsername=name@email.com时间戳=1599133208
Malsite
JSON
1
<14>六月0516:22:49知识产权-10-0-0-116头孢:0零| | Netskope | sedemo | malsite | mtron。in|Medium|accessMethod=Client action=block appcategory=违禁网站
2
浏览器=Chrome设备=Windows设备设备分类=unmanaged dst=45.114.142.143主机名= IP-C0一个84625ms_app_session_id =3134360458668230443ms_category
3.
[“钓鱼网站”]ms_id =108复写的副本1176c66dd0f59e718fc ms\u恶意=是ms\u匹配\u字段=域ms\u页面=mtron.in/images/favicon.ico os=Windows服务器2016政策
4
[NetskopeForWeb]阻止违反AUP sourceServiceName=mtron src的站点=35.167.150.121苏瑟=name@email.com.com时间戳=1591373686
5
url=mtron.in/images/favicon.ico
隔离期
JSON
1
T1590588648735<14>五月2714:10:55知识产权-10-0-0-116头孢:0|Netskope | sedemo | NULL |隔离| DICOM检测| High | accessMethod=Client act=Upload appcategory=Cloud
2
存储浏览器Chrome cci = =80ccl=高设备=Mac设备设备分类=受管设备外部ID=1一个5E8B7 e 1D18-0B21-1164-829450年儿1F9dst=162.125.2.6
3.
fsize=15774hostname=Ashutosh\\u2019s MacBook Pro15managementId =0 e6阿达夫5 e61B51D4一个37C534071F9电子商务84医学博士5=8交流电692英孚2复写的副本78adfc523188 e54d52933对象=PII SSN大
4
v3.xlsx os=Mojave policy=DICOM Detection q_transaction_id=3021013883821793546requestClientApplication=Dropbox sourceServiceName=Dropbox src=73.92.72.30
5
苏瑟=name@email.com时间戳=1588884900
修复
JSON
1
T1590588547021<14>五月2714:09:13知识产权-10-0-0-116头孢:0| Netskope | sedemo零| | |补救措施零|High | accessMethod=API连接器动作=自省扫描动作=警报
2
云存储cci appcategory = =94ccl =优秀dst =13.107.136.9fsize=46744医学博士5= ab9bb7c4b0f50907f5b30e4b1一个9d9是1mimeType=应用程序/八位字节流
3.
mwDetectionName =赢64.Hacktool。Mimikatz mwId =是3983498复写的副本7一个1c021f87b185e99欧洲经委会4object=C.exe r\u app\u session\u id=116085447250174requestClientApplication=Microsoft
4
办公室365OneDrive for Business sourceServiceName=Microsoft Office365OneDrive for Business suser=name@email.com timestamp=1588952849
5
url = https://mynetskopedemo-my.sharepoint.com/personal/netskopese\u mynetskopedemo\u com/Documents/MYee/Threats/C.exe
安全评估
JSON
1
<14> 4月1713:03:08知识产权-10-0-0-116头孢:0| | Netskope | sedemo零| |安全评估PCI-AWS \ |10.2.4对所有系统组件实施自动化审核跟踪:年代3.
2
bucket Lack Versioning|High|accessMethod=API Connector act=Introspection Scan action=alert appcategory=IaaS/PaaS browser=unknown cci=96ccl =优秀
3.
instanceId=MynetskopeDemo AWS object=scarberry os=unknown policy=AWS CSA扫描请求客户端应用程序=Amazon Web服务sa_帐户\u id=332671050434
4
sa_asset_object_id =54 e4130facd45c5394一个876c9sa_asset_tags =零sa_profile_name=PCI-DSS v3.2.1(AWS)sa_规则_名称=PCI-AWS|10.2.4实现自动审计跟踪
5
对于所有系统组件:年代3.Bucket缺少版本控制sa_rule_Recoveration=\\n\\n执行以下操作以配置3.桶版本< / b > \ \ n
6
Via CLI \\n 用相应的AWS S替换
3.水桶\\naws s
3.API的桶版本控制——桶 -
7
版本控制配置{“状态”:“启用”}\\n\\n\\n sourceServiceName=Amazon Web服务用户=name@email.com时间戳=1586996613
应用程序
JSON
1
2020-09-11T15:28:47+00:00知识产权-10-0-0-87头孢:0| Netskope | sedemo零应用零| | | | |未知appSessionId =4127238491198687592appcategory=协作
2
浏览器=本机cci =87ccl=高设备=Mac设备dst=54.87.197.95os=Catalina requestClientApplication=Slack sourceServiceName=Slack src=73.246.13.110
3.
苏瑟=name@email.com时间戳=1599837613url = netskope.slack.com/api/chat.postMessage
页
JSON
1
<14> 4月1713:03:18知识产权-10-0-0-116头孢:0| Netskope | sedemo零页面| | |零| |未知appcategory =安全浏览器Chrome cci = =零ccl=未知clientBytes=277637
2
设备= Windows设备dst =176.32.118.124os=Windows10页面=美国西-1.console.aws.amazon.com/ec2/ v2/ home pageEndtime =1587125569pageId =1356694626260201523
3.
pageStarttime =1587125518requestClientApplication=AWS KMS serverBytes=314509sourceServiceName = AWS公里src =139.167.149.156suse = name.com
4
时间戳=1587125503url =美国西-1.console.aws.amazon.com/ec2/ v2/家
审计
JSON
1
2020-09-11T15:29:12+00:00知识产权-10-0-0-87头孢:0| Netskope | qadp01|空|审核|空|低|审核日志事件=注销成功审核类型=管理审核日志
2
苏瑟=name@email.com时间戳=1599837436
网络
JSON
1
2020-09-11T15:29:44+00:00知识产权-10-0-0-87头孢:0| Netskope | qadp01|空|网络|空|未知|操作=允许cci=零ccl=未知clientBytes=1891clientPackets =2
2
设备=Windows dpt=443dst=零结束=2020-09-10T15:21:59+00:00网络会话ID=1495164501操作系统Windows osVersion = =10.0(2004) policy=DWalker NPA谷歌proto=Http
3.
requestClientApplication =172.217.7.206requestMethod客户机serverBytes = =2308服务器数据包=4会期=259年代shost = ns-8127.美国sjc1.npa.goskope.com
4
sourceServiceName =172.217.7.206spt =16src=10.120.109.64开始=2020-09-10T15:17:40+00:00苏瑟=name@email.com时间戳=1599751379trafficType = PrivateApp
5
tunnelId =1495164501tunnelType = NPA tunnelUpTime =259
这页对你有帮助吗?