Netskope

Netskope是一个云安全平台,用于识别与云服务使用和恶意软件事件相关的各种事件。InsightIDR通过Syslog支持Netskope提供的以下警报和事件类型:

  • 异常
  • DLP
  • 恶意软件
  • 政策
  • 妥协的凭据
  • Malsite
  • 隔离期
  • 修复
  • 安全评估
  • 应用程序
  • 审计
  • 网络

建立Netskope:

  1. 回顾<一个href="#before-you-begin">在你开始之前并注意任何要求。
  2. 在InsightIDR中设置事件源
  3. 验证配置是否有效

在你开始之前

Netskope与Insight IDR的集成由Cloud Logs Shipper实现,它从API中提取日志,并通过Syslog以CEF格式转发。为了配置此事件源,您需要联系Netskope帐户团队以获取云日志。

在InsightIDR中设置Netskope

  1. 从左侧菜单,转到数据收集
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从第三方警报部分,单击Netskope图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 如果要发送警报以外的其他事件,请选择<一个href="//www.gcpym.com/insightidr/log-collection-and-storage">未经过滤的日志复选框。
  6. 在采集器上指定一个可以接收转发Netskope事件的未使用端口。
  7. 选择设置Netskope时使用的协议。TCP是他们的默认协议。
  8. 点击保存

验证配置

完成以下步骤以查看日志,并确保事件已发送到收集器。

  1. 在左侧菜单中,单击Log Search以查看原始日志,以确保事件进入Collector。选择适用的日志集和其中的日志名称。日志名称将是事件源名称。Netskope的日志流入以下日志集:
  • 第三方警报
  • Web代理活动
  • 病毒警报
  • 病毒感染
  • 入口认证
  • 防火墙活动
  1. 接下来,单击左侧菜单中的Log Search以确保Netskope事件通过。

日志至少需要7分钟才能显示在日志搜索中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。

由InsightIDR生成的告警

InsightIDR生成以下内容<一个href="//www.gcpym.com/insightidr/alerts/">内置的非洲联合银行警报对于这个事件源:

  • 账户访问可疑链接
  • 第一个进入身份验证从国家
  • 收获的凭证
  • 从密码永不过期的帐户进入
  • 来自社区的威胁
  • 从禁用的帐户进入
  • 从域管理员进入
  • 从服务帐户进入
  • 免受威胁
  • 多个国家认证
  • 网络访问威胁
  • 检测到Spear网络钓鱼URL
  • 第三方警报- netskope
  • 病毒警报

样本日志

下面是在InsightIDR日志搜索中出现的Netskope事件的一些示例。

异常

         
JSON
1
T1590588553258<14>五月27140919知识产权-10-0-0-116头孢0| Netskope | sedemo零| | |异常接近高| | anomalyEventType =接近cci =89ccl=高dst=104.18103.56
2
requestClientApplication=Box sourceServiceName=Box src=173.75129.162苏瑟=name@email.com时间戳=1590527456url = mynetskopedemo.app.box.com

DLP

         
JSON
1
T1590588539708<14>五月27140906知识产权-10-0-0-116头孢0|Netskope | sedemo | NULL | DLP|上下文DLP低严重程度PII Warn|Low|accessMethod=Client act=Upload
2
appcategory=Cloud Storage browser=Chrome cci=94ccl=excellent device=Mac device devicecclassification =managed deviceExternalId=A89D093B-44一个0——一个5E5-50B7-98年埃迪6E0ABF0
3.
dlpFile=PII-匹配计数14.xlsx dlpIncidentId =6975643144850582428dlpProfile=低严重性-个人识别信息dlpRule=低服务美国SSN名称
4
dlpRuleCount =14dst=13.107136.9fsize=10697hostname=Matt MacBook Pro instanceId=mynetskopedemo managementId=A1DB28E458555C0神奇动物7B800交流6双相障碍4F9C0
5
医学博士5992305 e037f6560df0d1b8500制定了1df对象=PII-匹配计数14.xlsx os=Catalina策略=上下文DLP低严重性PII警告requestClientApplication=微软
6
办公室365OneDrive for Business sha256856艾德8085753868e162e9883381104贝贝达3.f7781一个0b518136686feecad9488sourceServiceName =微软办公365OneDrive为
7
商务src=162.23081.248苏瑟=name@email.com时间戳=1590585443url = mynetskopedemo
8
my.sharepoint.com/personal/netskopese_mynetskopedemo_com/_api/web/GetFolderById(@a1)/文件/AddUsingPath(DecodedUrl\=@a2覆盖\ = @a3.AutoCheckoutOnInvalidData \ =
9
一个4

恶意软件

         
JSON
1
T1590588648155<14>五月27141054知识产权-10-0-0-116头孢0| Netskope | sedemo零恶意软件| | | Gen.Malware.Detect.By。高StHeur | | accessMethod =客户行为=下载
2
动作=检测应用类别=不适用浏览器=Chrome cci=ccl=unknown device=Windows device dst=216.23938.21fsize=302医学博士587922cbc19d3e0def4d13aa5467足总9b2
3.
mwDetectionEngine=Netskope Advanced Heuristic Analysis mwDetectionName=Gen.Malware.Detect.By. mwDetectionEngine=Netskope Advanced Heuristic AnalysisStHeur mwDetectionType mwId = =病毒24光盘26f41427b1d1神奇动物4d69年e9b121932e
4
恶意mwType mwScannerResult = = =病毒对象6os=Windows10referer=http/ / netskopesecuritycheck.com/ requestClientApplication = netskopesecuritycheck
5
sourceServiceName=netskopesecuritycheck src=204.19559.80苏瑟=name@email.com时间戳=1590523425url=netskopesecuritycheck.com/tests/execute/6

政策

         
JSON
1
T1590588533255<14>五月27140859知识产权-10-0-0-116头孢0| Netskope | sedemo零政策| | |AccessControl-阻止登录到未经批准的SaaS
2
实例|accessMethod=Client act=Login Attempt action=block appcategory=Cloud Storage browser=Chrome device=Mac device devicecclassid =managed . appcategory=Cloud Storage browser=Chrome device=Mac device= managed . appcategory=Cloud Storage browser=Chrome device=Mac device
3.
deviceExternalId=A89D093B-44一个0——一个5E5-50B7-98年埃迪6E0ABF0dst=162.1253.1hostname=Matt MacBook Pro managementId=A1DB28E458555C0神奇动物7B800交流6双相障碍4F9C0操作系统=卡特琳娜政策
4
AccessControl-阻止登录非授权SaaS实例referer=https//www.dropbox.com/login?src\=注销请求clientapplication=dropbox
5
sourceServiceName = Dropbox src =162.23081.248苏瑟=name@email.com时间戳=1590586365url = www.dropbox.com/ajax_login

妥协的凭据

         
JSON
1
2020-09-11T152707+0000知识产权-10-0-0-87头孢0| Netskope | qadp01零| |妥协凭据| ExploitIN800M -部分25| |低ccBreachDate =1592438400
2
ccBreachMediaReferences =ccBreachScore =40ccEmailSource=CSV ccMatchedUsername=name@email.com时间戳=1599133208

Malsite

         
JSON
1
<14>六月05162249知识产权-10-0-0-116头孢0零| | Netskope | sedemo | malsite | mtron。in|Medium|accessMethod=Client action=block appcategory=违禁网站
2
浏览器=Chrome设备=Windows设备设备分类=unmanaged dst=45.114142.143主机名= IP-C0一个84625ms_app_session_id =3134360458668230443ms_category
3.
“钓鱼网站”ms_id =108复写的副本1176c66dd0f59e718fc ms\u恶意=是ms\u匹配\u字段=域ms\u页面=mtron.in/images/favicon.ico os=Windows服务器2016政策
4
NetskopeForWeb阻止违反AUP sourceServiceName=mtron src的站点=35.167150.121苏瑟=name@email.com.com时间戳=1591373686
5
url=mtron.in/images/favicon.ico

隔离期

         
JSON
1
T1590588648735<14>五月27141055知识产权-10-0-0-116头孢0|Netskope | sedemo | NULL |隔离| DICOM检测| High | accessMethod=Client act=Upload appcategory=Cloud
2
存储浏览器Chrome cci = =80ccl=高设备=Mac设备设备分类=受管设备外部ID=1一个5E8B7 e 1D18-0B21-1164-829450年1F9dst=162.1252.6
3.
fsize=15774hostname=Ashutosh\\u2019s MacBook Pro15managementId =0 e6阿达夫5 e61B51D4一个37C534071F9电子商务84医学博士58交流电692英孚2复写的副本78adfc523188 e54d52933对象=PII SSN大
4
v3.xlsx os=Mojave policy=DICOM Detection q_transaction_id=3021013883821793546requestClientApplication=Dropbox sourceServiceName=Dropbox src=73.9272.30
5
苏瑟=name@email.com时间戳=1588884900

修复

         
JSON
1
T1590588547021<14>五月27140913知识产权-10-0-0-116头孢0| Netskope | sedemo零| | |补救措施|High | accessMethod=API连接器动作=自省扫描动作=警报
2
云存储cci appcategory = =94ccl =优秀dst =13.107136.9fsize=46744医学博士5= ab9bb7c4b0f50907f5b30e4b1一个9d91mimeType=应用程序/八位字节流
3.
mwDetectionName =赢64.Hacktool。Mimikatz mwId =是3983498复写的副本7一个1c021f87b185e99欧洲经委会4object=C.exe r\u app\u session\u id=116085447250174requestClientApplication=Microsoft
4
办公室365OneDrive for Business sourceServiceName=Microsoft Office365OneDrive for Business suser=name@email.com timestamp=1588952849
5
url = https//mynetskopedemo-my.sharepoint.com/personal/netskopese\u mynetskopedemo\u com/Documents/MYee/Threats/C.exe

安全评估

         
JSON
1
<14> 4月17130308知识产权-10-0-0-116头孢0| | Netskope | sedemo零| |安全评估PCI-AWS \ |10.24对所有系统组件实施自动化审核跟踪年代3.
2
bucket Lack Versioning|High|accessMethod=API Connector act=Introspection Scan action=alert appcategory=IaaS/PaaS browser=unknown cci=96ccl =优秀
3.
instanceId=MynetskopeDemo AWS object=scarberry os=unknown policy=AWS CSA扫描请求客户端应用程序=Amazon Web服务sa_帐户\u id=332671050434
4
sa_asset_object_id =54 e4130facd45c5394一个876c9sa_asset_tags =sa_profile_name=PCI-DSS v3.21(AWS)sa_规则_名称=PCI-AWS|10.24实现自动审计跟踪
5
对于所有系统组件年代3.Bucket缺少版本控制sa_rule_Recoveration=\\n\\n执行以下操作以配置3.桶版本< / b > \ \ n
6
Via CLI \\n

用相应的AWS S替换3.水桶

\\n

aws s3.API的桶版本控制——桶 -

7
版本控制配置“状态”“启用”

\\n
Baidu
\\n\\n sourceServiceName=Amazon Web服务用户=name@email.com时间戳=
1586996613

应用程序

         
JSON
1
2020-09-11T152847+0000知识产权-10-0-0-87头孢0| Netskope | sedemo零应用零| | | | |未知appSessionId =4127238491198687592appcategory=协作
2
浏览器=本机cci =87ccl=高设备=Mac设备dst=54.87197.95os=Catalina requestClientApplication=Slack sourceServiceName=Slack src=73.24613.110
3.
苏瑟=name@email.com时间戳=1599837613url = netskope.slack.com/api/chat.postMessage

         
JSON
1
<14> 4月17130318知识产权-10-0-0-116头孢0| Netskope | sedemo零页面| | |零| |未知appcategory =安全浏览器Chrome cci = =ccl=未知clientBytes=277637
2
设备= Windows设备dst =176.32118.124os=Windows10页面=美国西-1.console.aws.amazon.com/ec2/ v2/ home pageEndtime =1587125569pageId =1356694626260201523
3.
pageStarttime =1587125518requestClientApplication=AWS KMS serverBytes=314509sourceServiceName = AWS公里src =139.167149.156suse = name.com
4
时间戳=1587125503url =美国西-1.console.aws.amazon.com/ec2/ v2/家

审计

         
JSON
1
2020-09-11T152912+0000知识产权-10-0-0-87头孢0| Netskope | qadp01|空|审核|空|低|审核日志事件=注销成功审核类型=管理审核日志
2
苏瑟=name@email.com时间戳=1599837436

网络

         
JSON
1
2020-09-11T152944+0000知识产权-10-0-0-87头孢0| Netskope | qadp01|空|网络|空|未知|操作=允许cci=ccl=未知clientBytes=1891clientPackets =2
2
设备=Windows dpt=443dst=结束=2020-09-10T152159+0000网络会话ID=1495164501操作系统Windows osVersion = =10.02004) policy=DWalker NPA谷歌proto=Http
3.
requestClientApplication =172.2177.206requestMethod客户机serverBytes = =2308服务器数据包=4会期=259年代shost = ns-8127.美国sjc1.npa.goskope.com
4
sourceServiceName =172.2177.206spt =16src=10.120109.64开始=2020-09-10T151740+0000苏瑟=name@email.com时间戳=1599751379trafficType = PrivateApp
5
tunnelId =1495164501tunnelType = NPA tunnelUpTime =259