メインコンテンツまでスキップ
Sumo Logic Japanese

Netskope のログの収集

このページでは、Netskope 用 Sumo Logic アプリケーションのログ収集のセットアップ手順を説明します。

このページでは、Hosted Collector と HTTP Source を追加して、Netskope アプリケーションから知見を収集するように収集エージェントを設定する方法を説明します。リンクをクリックして、トピックに移動してください。

収集の概要

Sumo Logic は、Netskope から API コールでログを取り出す Collector エージェントを提供しています。収集するイベントとアラートのリストを設定できますが、デフォルトではすべてのイベントとアラートが収集されます。

イベントとアラートは、Sumo Logic HTTP エンドポイントに JSON 形式で転送されます。ホーム ディレクトリに格納されている yaml ファイルの設定が使用されます。デフォルトでは、収集は過去 7 日間から開始されますが、この設定は変更できます。

Netskope アプリケーションには以下のコンポーネントがあります。

  • Application Usage (アプリケーション使用状況): 特にデバイス、ユーザ、ユーザとトラフィック パターン別のアプリケーション使用状況のインサイト。
  • Security Alerts (セキュリティ アラート): Netskope セキュリティ アラートおよび違反のインサイトと、侵入の影響の特定機能。  

ステップ 1: Hosted Collector と HTTP Source の追加

このセクションでは、Netskope のイベントを収集するために、Sumo Logic の Hosted Collector と HTTP ログおよびメトリクス Source を追加する方法を説明します

前提条件

HTTP Source を作成する前に、使用する Sumo Logic の Hosted Collector を指定するか、次の手順で新しい Hosted Collector を作成します。

Hosted Collector と HTTP Source を追加するには、次の手順を実行します。

  1. 新しい Sumo Logic の Hosted Collector を作成するには、「Hosted Collector を設定する」の手順を実行します

  2. HTTP ログとメトリクス Source を追加します。

  3. [Advanced Options for Logs (ログの詳細オプション)] の下にある [Timestamp Format (タイムスタンプの形式)] で [Specify a format (形式を指定)] をクリックして、以下を入力します。

  • [Format (形式)]エポックとして指定します。
  • [Timestamp locator (タイムスタンプ ロケータ)]\"timestamp\": (.*), と指定します。

NS_Collectors-Sources-dialog.png

  1. [Add (追加)] をクリックします。

ステップ 2: Netskope ポータルからのトークンの取得

Netskope REST API は、認証トークンを使用して、認証済みの API コールを行います。Netskope ユーザ インターフェイス (UI) からトークンを取得する方法を実際に示します。

Netskope 認証トークンを取得するには、次の手順を実行します。

  1. Netskope にテナント管理者としてログインします。
  2. [Settings (設定)] > [Tools (ツール)] > [Rest API] を選択して Netskope の API セクションに移動します。
  3. 既存のトークンをクリップボードにコピーするか、新しいトークンを生成して、そのトークンをコピーします。

ステップ 3: Sumo Logic Netskope Collector の設定

このセクションでは、Sumo Logic Netskope Collector を設定する手順を、順を追って説明します。

Sumo Logic Netskope Collector を作成するには、次の手順を実行します。

  1. Linux マシンにログインします。
  2. 次のコマンドで Collector をインストールします。 
pip install sumologic-netskope-collector
  1. netskope.yaml 設定ファイルをダウンロードしてホーム ディレクトリに格納します。  
  2. netskope.yaml ファイルを次のように編集します。
    1. <SUMO HTTP Source ENDPOINT> には、ステップ 1 で作成した Sumo Logic HTTPS Source エンドポイントを指定します。
    2. <Netskope API Token> には、ステップ 2 で作成した Netskope API トークンを指定します。
    3. <Netskope Domain> には、Netskope のドメイン名を指定します。

      編集後の netskope.yaml ファイルの例: 
Netskope:
 TOKEN: "ExampleTokenGxrtwdshciB7gHR7efDQbZPW"
 NETSKOPE_EVENT_ENDPOINT: https://example.goskope.com/api/v1/events
 NETSKOPE_ALERT_ENDPOINT: https://example.goskope.com/api/v1/alerts

SumoLogic:
 SUMO_ENDPOINT: "https://collectors.sumologic.com/receiver/v1/http/ZaVnC4dhaxxExampleEndpointxxx===" 
  1. Collector を (crontab -e を使用して) 5 分おきに実行する cron ジョブを作成して、次の行を追加します。
*/5 * * * *  /usr/bin/python -m sumonetskopecollector.netskope > /dev/null 2>&1

Sumo Logic Netskope Collector の更新

Sumo Logic は、定期的に Collector を変更します。ご利用の Collector が最新であることを確認するには、Collector が動作している各マシンで以下の作業を行います。 

  • Netskope Collector の最新バージョンを次のページで確認します。https://pypi.org/project/sumologic-netskope-collector/#history
  • 次のコマンドを実行して、インストールされている Collector のバージョンを確認します。pip show sumologic-netskope-collector
  • 動作している Collector が最新バージョンではない場合は、次の手順を実行します。
  1. cron ジョブを無効にします。
  2. 既存の Collector プロセスをすべて停止します。
  3. 次のコマンドを実行して、Collector をアップグレードします。pip install sumologic-netskope-collector --upgrade
  4. cron ジョブを有効にします。

高度な設定

設定ファイルのパラメータとそれぞれの使い方を次の表に示します。

パラメータ 使い方

EVENT_TYPES

Netskope からフェッチするイベントのリスト:

  • page
  • application
  • audit
  • infrastructure

ALERT_TYPES

Netskope からフェッチするアラートのリスト:

  • Malware
  • Malsite
  • Compromised Credential
  • Anomaly
  • DLP
  • Watchlist
  • Quarantine
  • Policy

BACKFILL_DAYS

イベント収集を開始するの日数。1 を指定すると、昨日から今日にかけてイベントがフェッチされます。

PAGINATION_LIMIT

1 つの API コールでフェッチするイベント数

LOG_FORMAT

Python ログ モジュールがログをファイルに書き込むために使用するログ形式

ENABLE_LOGFILE

すべてのログとエラーをログ ファイルに書き込む場合は TRUE に設定します

ENABLE_CONSOLE_LOG

コンソールへのログ出力を有効にします

LOG_FILEPATH

ENABLE_LOGFILE を TRUE に設定した場合に使用するログ ファイルのパス

NUM_WORKERS

API コールで生成するスレッド数

MAX_RETRY

リクエスト失敗時の再試行回数

BACKOFF_FACTOR

2 回目以降の再試行において、再試行と再試行の間に適用されるバックオフ係数。backoff_factor が 0.1 の場合、sleep() は再試行と再試行の間で [0.0s, 0.2s, 0.4s, ...] とスリープします。

TIMEOUT

リクエスト ライブラリで使用するリクエスト タイムアウト

TOKEN

API コール認証で使用する API トークン

SUMO_ENDPOINT

Sumo Logic で作成される HTTP Source エンドポイント URL

ログ メッセージのサンプル

{
           "dstip": "74.125.239.150",
           "dst_location": "Mountain View",
           "app": "Google Gmail",
           "_insertion_epoch_timestamp": 1547391690,
           "site": "Google Gmail",
           "src_location": "Pomerol",
           "organization_unit": "",
           "object_type": "Mail",
           "id": 3764,
           "app_session_id": 4252577042,
           "category": "Webmail",
           "dst_region": "California",
           "userkey": "Tanja.Barton@kkrlogistics.com",
           "dst_country": "US",
           "src_zipcode": "33500",
           "ur_normalized": "tanja.barton@kkrlogistics.com",
           "type": "nspolicy",
           "object": "Welcome Novak Dimitrov",
           "srcip": "77.194.46.1",
           "dst_latitude": 37.405991,
           "timestamp": 1547400222,
           "src_region": "Gironde",
           "dst_longitude": -122.078514,
           "alert": "no",
           "to_user": "ns-india@microsoft.com, hrglobal@microsoft.com",
           "user": "Tanja.Barton@kkrlogistics.com",
           "from_user": "bloomberg@bloomberg.com",
           "device": "Windows PC",
           "org": "kkrlogistics.com",
           "src_country": "FR",
           "traffic_type": "CloudApp",
           "dst_zipcode": "N/A",
           "count": 2,
           "src_latitude": 44.9333,
           "url": "https://mail.google.com/",
           "page_id": 2641483218,
           "sv": "unknown",
           "ccl": "excellent",
           "cci": 92,
           "activity": "Send",
           "userip": "127.0.0.1",
           "src_longitude": -0.2,
           "_id": "5df996d5b66a9ea963e812ce",
           "os": "Windows 8",
           "browser": "Internet Explorer",
           "appcategory": "Webmail"
       }
   ]
}

クエリのサンプル

次のクエリ例は、[Application Overview (アプリケーション概要)] ダッシュボードの [Total Sessions (合計セッション数)] パネルから引用されています。

_sourceCategory="netskope_events" "no" "nspolicy"
| json "_id", "alert", "type", "srcip", "dstip", "appcategory", "app", "os", "user", "device", 
"acked", "site", "timestamp", "ccl", "activity", "browser", "object", "object_type", "from_user", 
"to_user", "app_session_id" as alert_id, is_alert, type, src_ip, dest_ip, appcategory, app, os, 
user, device, acked, site, timestamp, ccl, activity, browser, object, object_type, from_user, 
to_user, app_session_id  nodrop
| where is_alert="no" and type="nspolicy"
| count by app_session_id
| count
  • この記事は役に立ちましたか?