Esta página foi traduzida pela API Cloud Translation.

Coletar registros de acesso à Internet do Zscaler

Compatível com:

Google secops Siem

Este documento descreve como exportar registros de acesso à Internet do Zscaler configurando um feed de operações de segurança do Google e como os campos de registro são mapeados para os campos do modelo de dados unificado (UDM, na sigla em inglês) do Google SecOps.

Para mais informações, consulte Visão geral da ingestão de dados no Google SecOps.

Uma implantação típica consiste no Zscaler Internet Access e no feed do webhook do Google SecOps configurado para enviar registros ao Google SecOps. Cada implantação do cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

Zscaler Internet Access: a plataforma de onde você coleta registros.
Feed do Google SecOps: o feed do Google SecOps que busca logs do Zscaler Internet Access e grava logs no Google SecOps.
Google SecOps: retém e analisa os registros.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de transferência ZSCALER_INTERNET_ACCESS.

Antes de começar

Verifique se você tem os seguintes pré-requisitos:

Acesso ao console de acesso à Internet do Zscaler. Para mais informações, consulte Ajuda do ZIA para acesso seguro à Internet e ao SaaS.
Zscaler Internet Access 2024 ou mais recente
Todos os sistemas na arquitetura de implantação são configurados com o fuso horário UTC.
A chave de API necessária para concluir a configuração do feed no Google Security Operations. Para mais informações, consulte Como configurar chaves de API.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

Configurações do SIEM > Feeds
Hub de conteúdo > Pacotes de conteúdo

Configurar feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registro nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Zscaler Internet Access Logs.
Selecione Webhook como o Tipo de origem.
Selecione Registros de auditoria de acesso à Internet do Zscaler como o Tipo de registro.
Clique em Próxima.
Opcional: insira valores para os seguintes parâmetros de entrada:
1. Delimitador de divisão: o delimitador usado para separar as linhas de registro. Deixe em branco se não for usado.
2. Namespace do recurso: o namespace do recurso.
3. Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do novo feed e clique em Enviar.
Clique em Generate Secret Key para gerar uma chave secreta para autenticar esse feed.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.

Opções avançadas

Nome do feed: um valor preenchido automaticamente que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.
Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.

Configurar o acesso à Internet do Zscaler

No console do Zscaler Internet Access, clique em Administration > Nanolog Streaming Service > Cloud NSS Feeds e clique em Add Cloud NSS Feed.
A janela Add Cloud NSS Feed vai aparecer. Na janela Adicionar feed de NSS do Cloud, insira os detalhes.
Digite um nome para o feed no campo Nome do feed.
Selecione NSS para Web em Tipo de NSS.
Selecione o status na lista Status para ativar ou desativar o feed do NSS.
Mantenha o valor na lista suspensa SIEM Rate como Unlimited. Para suprimir o fluxo de saída devido a licenciamento ou outras restrições, mude o valor.
Selecione Outro na lista Tipo de SIEM.
Selecione Desativada na lista Autenticação OAuth 2.0.
Insira um limite de tamanho para um payload de solicitação HTTP individual para a prática recomendada do SIEM em Tamanho máximo do lote. Por exemplo, 512 KB.
Insira o URL HTTPS do endpoint de API Chronicle no URL da API no seguinte formato:
```
  https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION: região em que a instância do Chronicle está hospedada. Por exemplo, EUA.
- GOOGLE_PROJECT_NUMBER: número do projeto BYOP. Receba isso do C4.
- LOCATION: região do Chronicle. Por exemplo, EUA.
- CUSTOMER_ID: ID do cliente do Chronicle. Receber do C4.
- FEED_ID: o ID do feed mostrado na interface do feed no novo webhook criado
- URL da API de exemplo:
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
Clique em Adicionar cabeçalho HTTP e adicione cabeçalhos HTTP no seguinte formato:
- Header 1: Chave1:X-goog-api-key e Valor1:chave de API gerada nas credenciais de API do Google Cloud BYOP.
- Header 2: Key2:X-Webhook-Access-Key e Value2:chave secreta da API gerada em "SECRET KEY" do webhook.
Selecione Registros de auditoria do administrador na lista Tipos de registro.
Selecione JSON na lista Tipo de saída do feed.
Defina Caracter de escape do feed como , \ ".
Para adicionar um novo campo ao Formato de saída do feed,selecione Personalizado na lista Tipo de saída do feed.
Copie e cole o Formato de saída do feed e adicione novos campos. Confira se os nomes das chaves correspondem aos nomes dos campos.

Confira a seguir o formato de saída do feed padrão:

  \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}

Selecione o fuso horário do campo Time no arquivo de saída na lista Timezone. Por padrão, o fuso horário é definido como o da sua organização.
Revise as configurações definidas.
Clique em Salvar para testar a conectividade. Se a conexão for bem-sucedida, uma marca de seleção verde acompanhada da mensagem Test Connectivity Successful: OK (200) vai aparecer.

Para mais informações sobre os feeds do Google SecOps, consulte a documentação sobre feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Formatos de registro de acesso à Internet do Zscaler compatíveis

O analisador de acesso à Internet do Zscaler oferece suporte a registros no formato JSON.

Exemplos de registros do Zscaler Internet Access com suporte

JSON

{
  "sourcetype": "zscalernss-audit",
  "event": {
    "time": "Wed May 29 17:45:03 2024",
    "recordid": "6095",
    "action": "UPDATE",
    "category": "ACCESS_CONTROL_RESOURCE",
    "subcategory": "URL_CATEGORY",
    "resource": "Custom SSL Bypass",
    "interface": "UI",
    "adminid": "abc@xyz.com",
    "clientip": "198.51.100.1",
    "result": "SUCCESS",
    "errorcode": "None",
    "auditlogtype": "ZIA",
    "preaction": "{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"keywords":[]%2c"keywordsRetainingParentCategory":[]%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":[]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https: //help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":60%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}","postaction":"{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":["webcast.temoinproduction.com"]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https://help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":61%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}"}
}

Referência do mapeamento de campo

A tabela a seguir lista os campos de registro do tipo ZSCALER_INTERNET_ACCESS e os campos correspondentes do UDM.

Log field	UDM mapping	Logic
	`metadata.event_type`	The `metadata.event_type` UDM field is set to `STATUS_UPDATE`.
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `Admin Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`sourcetype`	`additional.fields[sourcetype]`
`time`	`metadata.event_timestamp`
`recordid`	`metadata.product_log_id`
`action`	`security_result.action_details`
`category`	`target.security_result.category_details`
`subcategory`	`target.security_result.category_details`
`resource`	`target.resource.name`
`interface`	`principal.resource.attribute.labels[interface]`
`adminid`	`principal.user.userid`
`clientip`	`principal.ip`
	`security_result.action`	If the `event.result` log field value is equal to `SUCCESS`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `event.result` log field value is equal to `FAILURE`, then the `security_result.action` UDM field is set to `BLOCK`.
`errorcode`	`security_result.summary`
`auditlogtype`	`additional.fields[auditlogtype]`
`preaction`	`principal.resource.attribute.labels`	Iterate through preaction object: The `preaction object key` is mapped to the `principal.resource.attribute.labels.key` UDM field and `preaction object value` is mapped to the `principal.resource.attribute.labels.value` UDM field.
`postaction`	`principal.resource.attribute.labels`	Iterate through postaction object: The `postaction object key` is mapped to the `principal.resource.attribute.labels.key` UDM field and `postaction object value` is mapped to the `principal.resource.attribute.labels.value` UDM field.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.