收集 Zscaler ZPA 审核日志

支持的平台:

本文档介绍了如何通过设置 Bindplane 代理导出 Zscaler ZPA 审核日志,以及日志字段如何映射到 Google SecOps 统一数据模型 (UDM) 字段。

如需了解详情,请参阅将数据提取到 Google SecOps 概览

典型的部署包括 Zscaler ZPA Audit 和配置为将日志发送到 Google Security Operations 的 Bindplane 代理。每个客户部署都可能不同,并且可能更复杂。

该部署包含以下组件:

  • Zscaler ZPA Audit:您收集日志的平台。

  • Bindplane 代理:Bindplane 代理会从 Zscaler ZPA Audit 提取日志,并将日志发送到 Google Security Operations。

  • Google SecOps:保留和分析日志。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ZSCALER_ZPA 标签的解析器。

准备工作

  • 确保您使用的是 Zscaler ZPA Audit 2024 或更高版本。
  • 确保您有权访问 Zscaler Private Access 控制台。如需了解详情,请参阅安全专用访问 (ZPA) 帮助
  • 确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。

在 Zscaler Private Access 中配置日志接收器

如需在 Zscaler Private Access 中配置和管理 Log Receiver,请按以下步骤操作:

添加日志接收器

  1. 依次选择配置和控制 > 专用基础架构 > 日志流式传输服务 > 日志接收器,然后点击添加日志接收器
  2. 日志接收器标签页中,执行以下操作:
    1. 名称字段中,输入日志接收器的名称。
    2. 说明字段中,输入说明。
    3. Domain or IP Address(网域或 IP 地址)字段中,输入日志接收器的完全限定域名 (FQDN) 或 IP 地址。
    4. TCP 端口字段中,输入日志接收器使用的 TCP 端口号。
    5. TLS 加密中选择加密类型,以启用或停用应用连接器和日志接收器之间的流量加密。默认情况下,此设置处于停用状态。
    6. 应用连接器组列表中,选择可以将日志转发到接收器的应用连接器组,然后点击完成
    7. 点击下一步

  3. 日志流标签页中,执行以下操作:

    1. 从菜单中选择日志类型
    2. 从菜单中选择日志模板

    3. 复制并粘贴日志流内容,然后添加新字段。确保键名称与实际字段名称一致。

      以下是审核日志类型的默认日志流内容

      {"ModifiedTime":%j{modifiedTime:iso8601},"CreationTime":%j{creationTime:iso8601},"ModifiedBy":%d{modifiedBy},"RequestID":%j{requestId},"SessionID":%j{sessionId},"AuditOldValue":%j{auditOldValue},"AuditNewValue":%j{auditNewValue},"AuditOperationType":%j{auditOperationType},"ObjectType":%j{objectType},"ObjectName":%j{objectName},"ObjectID":%d{objectId},"CustomerID":%d{customerId},"User":%j{modifiedByUser},"ClientAuditUpdate":%d{clientAuditUpdate}}\n

    4. SAML 属性中,点击选择 IdP,然后选择要添加到政策中的 IdP 配置。

    5. 应用细分受众群菜单中,选择要添加的应用细分受众群,然后点击完成

    6. 细分组菜单中,选择要添加的细分组,然后点击完成

    7. 客户端类型菜单中,选择要包含的客户端类型,然后点击完成

    8. 会话状态菜单中,选择要排除的会话状态代码,然后点击完成

    9. 点击下一步

  4. 检查标签页中,检查日志接收器配置,然后点击保存

注意ZSCALER_ZPA_AUDIT Gold 解析器仅支持 JSON 日志格式,因此在配置日志流时,请务必从菜单中选择 JSON 作为日志模板

复制日志接收器

  1. 依次选择控制 > 专用基础架构 > 日志流式传输服务 > 日志接收器
  2. 在表格中,找到要修改的日志接收器,然后点击复制
  3. 添加日志接收器窗口中,根据需要修改字段。如需详细了解每个字段,请参阅添加日志接收器部分中的相应步骤。
  4. 点击保存

修改日志接收器

  1. 依次选择控制 > 专用基础架构 > 日志流式传输服务 > 日志接收器
  2. 在表格中,找到要修改的日志接收器,然后点击修改
  3. 修改日志接收器窗口中,根据需要修改字段。如需详细了解每个字段,请参阅添加日志接收器部分中的相应步骤。
  4. 点击保存

删除日志接收器

  1. 依次选择控制 > 专用基础架构 > 日志流式传输服务 > 日志接收器
  2. 在表格中,找到要修改的日志接收器,然后点击删除
  3. 确认窗口中,点击删除

使用 Bindplane 代理将日志转发到 Google SecOps

  1. 安装并设置 Linux 虚拟机
  2. 在 Linux 上安装并配置 Bindplane 代理,以将日志转发到 Google SecOps。如需详细了解如何安装和配置 Bindplane 代理,请参阅 Bindplane 代理安装和配置说明

如果您在创建 Feed 时遇到问题,请与 Google SecOps 支持团队联系。

UDM 映射表

字段映射参考信息:ZSCALER_ZPA_AUDIT

下表列出了 ZSCALER_ZPA_AUDIT 日志类型的日志字段及其对应的 UDM 字段。

Log field UDM mapping Logic
metadata.product_name The metadata.product_name UDM field is set to ZPA Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
CreationTime metadata.event_timestamp
RequestID metadata.product_log_id
SessionID network.session_id
metadata.event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.event_type UDM field is set to RESOURCE_CREATION.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.event_type UDM field is set to RESOURCE_DELETION.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.event_type UDM field is set to USER_RESOURCE_ACCESS.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.event_type UDM field is set to USER_LOGIN.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.event_type UDM field is set to USER_LOGOUT.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.event_type UDM field is set to USER_RESOURCE_UPDATE_CONTENT.
metadata.product_event_type If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Create, then the metadata.product_event_type UDM field is set to create.

Else, if the AuditOperationType log field value is equal to Client Session Revoked, then the metadata.product_event_type UDM field is set to client session revoked.

Else, if the AuditOperationType log field value is equal to Delete, then the metadata.product_event_type UDM field is set to delete.

Else, if the AuditOperationType log field value is equal to Download, then the metadata.product_event_type UDM field is set to download.

Else, if the AuditOperationType log field value is equal to Sign In, then the metadata.product_event_type UDM field is set to user_login.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the metadata.product_event_type UDM field is set to user_login_fail.

Else, if the AuditOperationType log field value is equal to Sign Out, then the metadata.product_event_type UDM field is set to user_logout.

Else, if the AuditOperationType log field value is equal to Update, then the metadata.product_event_type UDM field is set to update.
security_result.action If the AuditOperationType log field value is not empty, then if the AuditOperationType log field value is equal to Client Session Revoked, then the security_result.action UDM field is set to BLOCK.

Else, if the AuditOperationType log field value is equal to Sign In, then the security_result.action UDM field is set to ALLOW.

Else, if the AuditOperationType log field value is equal to Sign In Failure, then the security_result.action UDM field is set to FAIL.
ObjectType target.resource.resource_subtype
ObjectID target.resource.product_object_id
ObjectName target.resource.name
ModifiedTime target.resource.attribute.labels[ModifiedTime]
ModifiedBy principal.user.userid
User principal.user.email_addresses
AuditOldValue additional.fields[AuditOldValue] Iterate through AuditOldValue object: The AuditOldValue object key is mapped to the additional.fields.key UDM field and AuditOldValue object value is mapped to the additional.fields.value UDM field.
AuditNewValue additional.fields[AuditNewValue] Iterate through AuditNewValue object: The AuditNewValue object key is set to the additional.fields.key UDM field and AuditNewValue object value is mapped to the additional.fields.value UDM field.
CustomerID target.user.userid
ClientAuditUpdate additional.fields[ClientAuditUpdate]

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。