こんにちは、こやしぃです。
Netskopeのログを、外部のSIEMや分析ツールと連携させたいというご要望をいただくケースがあります。
そこで今回は、API経由でログを取得するためのRole設定の手順をご紹介します。
目次
APIで取得できるログの種類
まずSkope IT で取得可能なユーザー通信ログや詳細につきましては、以下のブログにて網羅的に紹介されています。
APIを介して取得可能な通信ログについては、以下のようなログが挙げられます。
- イベントログ(Application / Network / SWG など):ユーザーのアクティビティやシステム操作の記録
- アラートログ(検知アラート など):セキュリティポリシーに抵触した際の検知記録
注意: ご契約いただいているプランや有効化されている機能により、取得可能な情報の範囲が異なります。
詳細は弊社担当までお問い合わせいただくか、管理画面をご確認ください。
RBACv3への移行に伴うAPI認証の変更点
現在、Netskopeではセキュリティ強化を目的としたRBACv3への移行が進んでいます。これに伴い、APIキー(トークン)の発行手順が変更されました。
新しい手順では、サービスアカウントを作成し、そこにRoleを設定する方式となります。
なお、サービスアカウント作成時に「どのRoleを割り当てるか」を選択する必要があるため、先にRoleを作成しておく必要がございます。
ログ取得のための大きな流れとして、以下の2ステップで行います。
- API専用Roleの作成:権限の範囲を定義する
- サービスアカウントの発行:作成したRoleを紐付け、トークンを発行する
今回は、ログの抽出とアラートの取得を目的として、「ログの読み取り(Read)」のみに絞ったRoleを作成してみます。
ここでは、Events and Analytics カテゴリを登録します。
本機能は、"Review events and alerts and generate reports"とある通り、イベントとアラートをレビュー(精査)し、レポートを作成する機能です。
以下に手順を記載します。
ステップ1:API専用Roleの作成
- Settings > Administration > Administrators & Roles > Roles に進み、Newを選択します。
- Role名(例:API-Log-Reader)を入力します。
- Permissions の設定で、Events and Analytics カテゴリを展開します。
- 取得したいログの種類(Application、Alert、Auditなど)に対して、View(閲覧)権限のみにチェックを入れます。
- ポイント:青色のViewをクリックすると、Function大タブごとに一斉にViewへ切り替えることができます。Manageが選択できない機能については、自動的にViewとなります。
- ポイント:青色のViewをクリックすると、Function大タブごとに一斉にViewへ切り替えることができます。Manageが選択できない機能については、自動的にViewとなります。
- その他の項目も確認し、必要最小限の権限に絞り込んで保存します。
- 参考:Netskope Documentation - Create Roles
- ポイント:Roleを作成しただけでは、Administrators欄でRoleをフィルタリングしても該当のRoleは表示されませんので、必ずAdministratorsへのRole紐づけまでを完了させていただくよう、お願い致します。
ステップ2:サービスアカウントの作成とトークン発行
こちらの方法につきましても、過去のブログ内で紹介されている内容となりますが、念のため記載します。
- Settings > Administrators & Roles > Administrators セクションに進みます。
- NEW Service Account をクリックします。
- 任意の名前を入力し、先ほど作成した「API専用Role」を割り当てます。
- 保存するとAPI作成成功の画面が表示され、トークン(APIキー)が発行されます。
重要: トークンはこのタイミングで一度だけ表示されますので、必ずCopy Tokenをクリックして安全な場所に保管してください。
