이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Zscaler ZPA 감사 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Bindplane 에이전트를 설정하여 Zscaler ZPA 감사 로그를 내보내는 방법과 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.

자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.

일반적인 배포는 로그를 Google Security Operations에 전송하도록 구성된 Zscaler ZPA 감사 및 Bindplane 에이전트로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.

배포에는 다음 구성요소가 포함됩니다.

Zscaler ZPA 감사: 로그를 수집하는 플랫폼입니다.
Bindplane 에이전트: Bindplane 에이전트는 Zscaler ZPA 감사에서 로그를 가져와 Google Security Operations로 전송합니다.
Google SecOps: 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 ZSCALER_ZPA 라벨이 있는 파서에 적용됩니다.

시작하기 전에

Zscaler ZPA Audit 2024 이상을 사용하고 있는지 확인합니다.
Zscaler Private Access 콘솔에 액세스할 수 있는지 확인합니다. 자세한 내용은 보안 비공개 액세스 (ZPA) 도움말을 참고하세요.
배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

Zscaler Private Access에서 로그 수신기 구성

다음 단계에 따라 Zscaler Private Access에서 로그 수신기를 구성하고 관리합니다.

로그 수신기 추가

구성 및 제어 > 비공개 인프라 > 로그 스트리밍 서비스 > 로그 수신기를 선택한 다음 로그 수신기 추가를 클릭합니다.
로그 수신기 탭에서 다음을 수행합니다.
1. 이름 필드에 로그 수신기의 이름을 입력합니다.
2. 설명 필드에 설명을 입력합니다.
3. 도메인 또는 IP 주소 필드에 로그 수신기의 정규화된 도메인 이름 (FQDN) 또는 IP 주소를 입력합니다.
4. TCP 포트 필드에 로그 수신기에서 사용하는 TCP 포트 번호를 입력합니다.
5. TLS 암호화에서 암호화 유형을 선택하여 앱 커넥터와 로그 수신기 간의 트래픽 암호화를 사용 설정하거나 중지합니다. 이 설정은 기본적으로 사용 중지되어 있습니다.
6. 앱 커넥터 그룹 목록에서 수신기로 로그를 전달할 수 있는 앱 커넥터 그룹을 선택하고 완료를 클릭합니다.
7. 다음을 클릭합니다.
로그 스트림 탭에서 다음을 수행합니다.
1. 메뉴에서 로그 유형을 선택합니다.
2. 메뉴에서 로그 템플릿을 선택합니다.
3. 로그 스트림 콘텐츠를 복사하여 붙여넣고 새 필드를 추가합니다. 키 이름이 실제 필드 이름과 일치하는지 확인합니다.
  
  다음은 감사 로그 유형의 기본 로그 스트림 콘텐츠입니다.
```
{"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n
```
4. SAML 속성에서 IDP 선택을 클릭하고 정책에 포함할 IDP 구성을 선택합니다.
5. 애플리케이션 세그먼트 메뉴에서 포함할 애플리케이션 세그먼트를 선택하고 완료를 클릭합니다.
6. 세그먼트 그룹 메뉴에서 포함할 세그먼트 그룹을 선택하고 완료를 클릭합니다.
7. 고객 유형 메뉴에서 포함할 고객 유형을 선택하고 완료를 클릭합니다.
8. 세션 상태 메뉴에서 제외할 세션 상태 코드를 선택하고 완료를 클릭합니다.
9. 다음을 클릭합니다.
검토 탭에서 로그 수신기 구성을 검토하고 저장을 클릭합니다.

참고: ZSCALER_ZPA_AUDIT 골드 파서는 JSON 로그 형식만 지원하므로 로그 스트림을 구성할 때 메뉴에서 로그 템플릿으로 JSON을 선택해야 합니다.

로그 수신기 복사

Control > Private Infrastructure > Log Streaming Service > Log Receivers를 선택합니다.
표에서 수정하려는 로그 수신기를 찾아 복사를 클릭합니다.
로그 수신기 추가 창에서 필요에 따라 필드를 수정합니다. 각 필드에 관한 자세한 내용은 로그 수신기 추가 섹션의 절차를 참고하세요.
저장을 클릭합니다.

로그 수신기 수정

Control > Private Infrastructure > Log Streaming Service > Log Receivers를 선택합니다.
표에서 수정하려는 로그 수신기를 찾아 수정을 클릭합니다.
로그 수신기 수정 창에서 필요에 따라 필드를 수정합니다. 각 필드에 관한 자세한 내용은 로그 수신기 추가 섹션의 절차를 참고하세요.
저장을 클릭합니다.

로그 수신자 삭제

Control > Private Infrastructure > Log Streaming Service > Log Receivers를 선택합니다.
표에서 수정하려는 로그 수신기를 찾아 삭제를 클릭합니다.
확인 창에서 삭제를 클릭합니다.

Bindplane 에이전트를 사용하여 Google SecOps로 로그 전달

Linux 가상 머신을 설치하고 설정합니다.
Linux에 Bindplane 에이전트를 설치하고 구성하여 로그를 Google SecOps로 전달합니다. Bindplane 에이전트를 설치하고 구성하는 방법에 관한 자세한 내용은 Bindplane 에이전트 설치 및 구성 안내를 참고하세요.

피드를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.

UDM 매핑 표

필드 매핑 참조: ZSCALER_ZPA_AUDIT

다음 표에는 ZSCALER_ZPA_AUDIT 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

Log field	UDM mapping	Logic
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZPA Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`CreationTime`	`metadata.event_timestamp`
`RequestID`	`metadata.product_log_id`
`SessionID`	`network.session_id`
	`metadata.event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.event_type` UDM field is set to `RESOURCE_CREATION`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.event_type` UDM field is set to `RESOURCE_DELETION`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_ACCESS`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.event_type` UDM field is set to `USER_LOGIN`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.event_type` UDM field is set to `USER_LOGOUT`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.event_type` UDM field is set to `USER_RESOURCE_UPDATE_CONTENT`.
	`metadata.product_event_type`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Create`, then the `metadata.product_event_type` UDM field is set to `create`. Else, if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `metadata.product_event_type` UDM field is set to `client session revoked`. Else, if the `AuditOperationType` log field value is equal to `Delete`, then the `metadata.product_event_type` UDM field is set to `delete`. Else, if the `AuditOperationType` log field value is equal to `Download`, then the `metadata.product_event_type` UDM field is set to `download`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `metadata.product_event_type` UDM field is set to `user_login`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `metadata.product_event_type` UDM field is set to `user_login_fail`. Else, if the `AuditOperationType` log field value is equal to `Sign Out`, then the `metadata.product_event_type` UDM field is set to `user_logout`. Else, if the `AuditOperationType` log field value is equal to `Update`, then the `metadata.product_event_type` UDM field is set to `update`.
	`security_result.action`	If the `AuditOperationType` log field value is not empty, then if the `AuditOperationType` log field value is equal to `Client Session Revoked`, then the `security_result.action` UDM field is set to `BLOCK`. Else, if the `AuditOperationType` log field value is equal to `Sign In`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `AuditOperationType` log field value is equal to `Sign In Failure`, then the `security_result.action` UDM field is set to `FAIL`.
`ObjectType`	`target.resource.resource_subtype`
`ObjectID`	`target.resource.product_object_id`
`ObjectName`	`target.resource.name`
`ModifiedTime`	`target.resource.attribute.labels[ModifiedTime]`
`ModifiedBy`	`principal.user.userid`
`User`	`principal.user.email_addresses`
`AuditOldValue`	`additional.fields[AuditOldValue]`	Iterate through AuditOldValue object: The `AuditOldValue object key` is mapped to the `additional.fields.key` UDM field and `AuditOldValue object value` is mapped to the `additional.fields.value` UDM field.
`AuditNewValue`	`additional.fields[AuditNewValue]`	Iterate through AuditNewValue object: The `AuditNewValue object key` is set to the `additional.fields.key` UDM field and `AuditNewValue object value` is mapped to the `additional.fields.value` UDM field.
`CustomerID`	`target.user.userid`
`ClientAuditUpdate`	`additional.fields[ClientAuditUpdate]`

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.