Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux du tunnel Zscaler

Compatible avec:

Google SecOps Siem

Ce document explique comment exporter les journaux du tunnel Zscaler en configurant un flux Google Security Operations, et comment les champs de journal sont mappés sur les champs du modèle de données unifié (UDM) Google SecOps.

Pour en savoir plus, consultez la section Présentation de l'ingestion de données dans Google SecOps.

Un déploiement typique comprend le tunnel Zscaler et le flux de webhook Google SecOps configuré pour envoyer des journaux à Google SecOps. Chaque déploiement client peut être différent et plus complexe.

Le déploiement contient les composants suivants:

Tunnel Zscaler: plate-forme à partir de laquelle vous collectez les journaux.
Flux Google SecOps: flux Google SecOps qui extrait les journaux de Zscaler Tunnel et les écrit dans Google SecOps.
Google SecOps: conserve et analyse les journaux.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé ZSCALER_TUNNEL.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes:

Accès à la console d'accès à Internet Zscaler. Pour en savoir plus, consultez l'aide ZIA sur la sécurisation de l'accès à Internet et aux services SaaS.
Zscaler Tunnel version 1.0 ou version 2.0
Tous les systèmes de l'architecture de déploiement sont configurés avec le fuseau horaire UTC.
Clé API requise pour configurer le flux dans Google Security Operations. Pour en savoir plus, consultez Configurer des clés API.

Configurer des flux

Il existe deux points d'entrée différents pour configurer des flux dans la plate-forme Google SecOps:

Paramètres du SIEM > Flux
Hub de contenu > Packs de contenu

Configurez les flux dans Paramètres du SIEM > Flux.

Pour configurer plusieurs flux pour différents types de journaux au sein de cette famille de produits, consultez Configurer des flux par produit.

Pour configurer un seul flux, procédez comme suit:

Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
Cliquez sur Ajouter un flux.
Sur la page suivante, cliquez sur Configurer un flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux de tunnel Zscaler).
Sélectionnez Webhook comme type de source.
Sélectionnez Tunnel Zscaler comme Type de journal.
Cliquez sur Suivant.
Facultatif: Spécifiez les valeurs des paramètres d'entrée suivants :
1. Délimiteur de fractionnement: délimiteur utilisé pour séparer les lignes de journal (laissez ce champ vide si aucun délimiteur n'est utilisé).
2. Espace de noms de l'élément: espace de noms de l'élément.
3. Libellés d'ingestion: libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.

Configurer des flux depuis le Centre de contenu

Indiquez les valeurs des champs suivants:

Délimiteur de fractionnement: délimiteur utilisé pour séparer les lignes de journal, par exemple \n.

Options avancées

Nom du flux: valeur préremplie qui identifie le flux.
Source Type (Type de source) : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément: espace de noms de l'élément.
Libellés d'ingestion: libellé appliqué aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration du flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.

Configurer le tunnel Zscaler

Dans la console Zscaler Internet Access, accédez à Administration > Nanolog Streaming Service > Cloud NSS Feeds (Administration > Nanolog Streaming Service > Flux NSS cloud).
Cliquez sur Ajouter un flux NSS Cloud.
Attribuez un nom au flux dans le champ Nom du flux.
Sélectionnez NSS pour le tunnel dans Type de NSS.
Sélectionnez l'état dans la liste État pour activer ou désactiver le flux NSS.
Laissez la valeur Illimité dans le menu déroulant Taux du SIEM. Pour supprimer le flux de sortie en raison de licences ou d'autres contraintes, modifiez la valeur.
Sélectionnez Autre dans la liste Type de SIEM.
Sélectionnez Désactivée dans la liste Authentification OAuth 2.0.
Dans Taille maximale du lot, saisissez une limite de taille pour la charge utile d'une requête HTTP individuelle conformément aux bonnes pratiques du SIEM (par exemple, 512 Ko).
Saisissez l'URL HTTPS du point de terminaison de l'API Chronicle dans l'URL de l'API au format suivant:
```
https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION: région où est hébergée votre instance Google SecOps (par exemple, États-Unis).
- GOOGLE_PROJECT_NUMBER: numéro de projet BYOP (obtenez-le auprès de C4).
- LOCATION: région Google SecOps (par exemple, États-Unis).
- CUSTOMER_ID: ID client Google SecOps (obtenez-le auprès de C4).
- FEED_ID: ID du flux affiché dans l'interface utilisateur du flux du nouveau webhook créé.
Exemple d'URL d'API:
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
Cliquez sur Ajouter un en-tête HTTP, puis ajoutez des en-têtes HTTP au format suivant:
- Header 1: Key1:X-goog-api-key et Value1:clé API générée sur les identifiants API de BYOP. Google Cloud
- Header 2: Key2:X-Webhook-Access-Key et Value2:clé secrète de l'API générée dans "SECRET KEY" du webhook.
Sélectionnez Tunnel dans la liste Types de journaux.
Sélectionnez JSON dans la liste Type de sortie du flux.
Définissez Feed Escape Character (Caractère d'échappement du flux) sur , \ ".
Pour ajouter un champ au format de sortie du flux,sélectionnez Personnalisé dans la liste Type de sortie du flux.

Copiez-collez le format de sortie du flux et ajoutez de nouveaux champs. Assurez-vous que les noms des clés correspondent aux noms des champs.

Voici les formats de sortie des flux par défaut:

Pour la phase 1 d'IKE:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}

Pour la phase 2 d'IKE:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","sourceportstart":"%d{srcportstart}","destinationportstart":"%d{destportstart}","srcipstart":"%s{srcipstart}","srcipend":"%s{srcipend}","destinationipstart":"%s{destipstart}","destinationipend":"%s{destipend}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","spi":"%d{spi}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","protocol":"%s{protocol}","tunnelprotocol":"%s{tunnelprotocol}","policydirection":"%s{policydirection}","recordid":"%d{recordid}"\}\}

Pour l'événement Tunnel:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","event":"%s{event}","eventreason":"%s{eventreason}","recordid":"%d{recordid}"\}\}

Exemple:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","txbytes":"%lu{txbytes}","rxbytes":"%lu{rxbytes}","dpdrec":"%d{dpdrec}","recordid":"%d{recordid}"\}\}

Dans la liste Fuseau horaire, sélectionnez le fuseau horaire du champ Heure dans le fichier de sortie. Par défaut, le fuseau horaire est défini sur celui de votre organisation.
Vérifiez les paramètres configurés.
Cliquez sur Enregistrer pour tester la connectivité. Si la connexion aboutit, une coche verte s'affiche, accompagnée du message Test de connectivité réussi: OK (200).

Pour en savoir plus sur les flux Google SecOps, consultez la documentation sur les flux Google SecOps. Pour en savoir plus sur les exigences de chaque type de flux, consultez la section Configuration des flux par type.

Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google SecOps.

Formats de journaux Zscaler Tunnel acceptés

L'analyseur de tunnel Zscaler est compatible avec les journaux au format JSON.

Exemples de journaux compatibles avec Zscaler Tunnel

JSON

{
  "sourcetype": "zscalernss-tunnel",
  "event": {
    "datetime": "Sun Jan 21 06:17:00 2024",
    "Recordtype": "Tunnel Samples",
    "tunneltype": "IPSec IKEv2",
    "user": "dummy-user@dummydomain.net",
    "location": "PLWSE06",
    "sourceip": "198.51.100.0",
    "destinationip": "198.51.100.1",
    "sourceport": "0",
    "txbytes": "12560",
    "rxbytes": "0",
    "dpdrec": "0",
    "recordid": "7326416289073594372"
  }
}

Tableau de mappage UDM

Référence de mappage de champ: ZSCALER_TUNNEL

Le tableau suivant répertorie les champs de journal du type de journal ZSCALER_TUNNEL et les champs UDM correspondants.

Log field	UDM mapping	Logic
`algo`	`additional.fields[algo]`
`authtype`	`additional.fields[authtype]`
`authentication`	`additional.fields[authentication]`
`dd`	`additional.fields[dd]`
`day`	`additional.fields[day]`
`destinationportstart`	`additional.fields[destinationportstart]`
`dpdrec`	`additional.fields[dpdrec]`
`eventreason`	`additional.fields[eventreason]`
`hh`	`additional.fields[hh]`
`ikeversion`	`additional.fields[ikeversion]`
`lifebytes`	`additional.fields[lifebytes]`
`mm`	`additional.fields[mm]`
`mon`	`additional.fields[mon]`
`mth`	`additional.fields[mth]`
`olocationname`	`additional.fields[olocationname]`
`ovpncredentialname`	`additional.fields[ovpncredentialname]`
`ss`	`additional.fields[ss]`
`sourcetype`	`additional.fields[sourcetype]`
`spi_in`	`additional.fields[spi_in]`
`spi_out`	`additional.fields[spi_out]`
`sourceportstart`	`additional.fields[sourceportstart]`
`tz`	`additional.fields[tz]`
`tunnelprotocol`	`additional.fields[tunnelprotocol]`
`tunneltype`	`additional.fields[tunneltype]`
`vendorname`	`additional.fields[vendorname]`
`yyyy`	`additional.fields[yyyy]`
`spi`	`additional.fields[spi]`
`event`	`metadata.description`
`datetime`	`metadata.event_timestamp`
	`metadata.event_type`	If (the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty) and (the `destinationipstart` log field value is not empty or the `destinationip` log field value is not empty or the `destinationipend` log field value is not empty), then the `metadata.event_type` UDM field is set to `NETWORK_CONNECTION`. Else, if the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty, then the `metadata.event_type` UDM field is set to `STATUS_UPDATE`. Else, the `metadata.event_type` UDM field is set to `GENERIC_EVENT`.
`Recordtype`	`metadata.product_event_type`
`recordid`	`metadata.product_log_id`
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZSCALER_TUNNEL`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `ZSCALER`.
	`network.direction`	If the `policydirection` log field value matches the regular expression pattern `(?i)Inbound`, then the `network.direction` UDM field is set to `INBOUND`. Else, if the `policydirection` log field value matches the regular expression pattern `(?i)Outbound`, then the `network.direction` UDM field is set to `OUTBOUND`.
`protocol`	`network.ip_protocol`	If the `protocol` log field value contain one of the following values, then the `protocol` log field is mapped to the `network.ip_protocol` UDM field. `TCP` `EIGRP` `ESP` `ETHERIP` `GRE` `ICMP` `IGMP` `IP6IN4` `PIM` `UDP` `VRRP`
`rxbytes`	`network.received_bytes`
`rxpackets`	`network.received_packets`
`txbytes`	`network.sent_bytes`
`txpackets`	`network.sent_packets`
`lifetime`	`network.session_duration.seconds`
`srcipstart`	`principal.ip`
`sourceip`	`principal.ip`
`srcipend`	`principal.ip`
`location`	`principal.location.name`
`sourceport`	`principal.port`
`user`	`principal.user.userid`
`destinationipstart`	`target.ip`
`destinationip`	`target.ip`
`destinationipend'`	`target.ip`
`destinationport`	`target.port`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.