Zscaler-Parser – Übersicht
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument sind die Zscaler-Parser aufgeführt, die Zscaler-Produktlogs in Felder des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations normalisieren. Sie bietet einen allgemeinen Überblick über die einzelnen Zscaler-Produkte mit ihren Anwendungsfallszenarien.
Aufnahme von Zscaler-Logs konfigurieren
Wenn Sie die Zscaler-Logs in Google SecOps aufnehmen möchten, klicken Sie in der Tabelle auf den Link für den entsprechenden Aufnahmemechanismus und folgen Sie der Anleitung für den jeweiligen Parser.
Zscaler-Produkte und ‑Beschreibung
In der folgenden Tabelle sind die Zscaler-Parser aufgeführt, die von Google SecOps unterstützt werden. Außerdem wird für jeden Parser das entsprechende Ingestion-Label zusammen mit der jeweiligen Produktbeschreibung aufgeführt. Sie können auf den Link zum Erfassungsmechanismus klicken, der mit jedem Parser bereitgestellt wird, um die detaillierten Schritte des Erfassungsmechanismus aufzurufen, die befolgt werden müssen. Wenn Sie die Referenzdokumentation zur Zuordnung des Parsers aufrufen möchten, klicken Sie in der Tabelle auf den entsprechenden Parsernamen.
| Produktname | Label für Datenaufnahme | Produktbeschreibung |
|---|---|---|
Webproxy |
ZSCALER_WEBPROXY |
Zscaler Webproxy ist eine fortschrittliche Webproxy-Lösung, die für die Cloud entwickelt wurde. Der gesamte Traffic wird im großen Maßstab geprüft, einschließlich TLS/SSL. Verbindungen zwischen Nutzern und Anwendungen werden auf Grundlage von Identität, Kontext und Unternehmensrichtlinien vermittelt. Ziel ist es, Daten zu schützen, Sicherheitslücken zu beseitigen und Datenverlust zu verhindern. Er fungiert als Vermittler zwischen dem Client und dem Server, bietet sicheren Zugriff auf Ressourcen und schützt den Server vor Malware und anderen Bedrohungen.
Zscaler-Webproxy-Aufnahmemechanismus |
Firewall |
ZSCALER_FIREWALL |
Zscaler Firewall ist eine cloudbasierte Sicherheitslösung, die Web- und Nicht-Web-Traffic schützt. Es verbessert die Konnektivität und Verfügbarkeit, indem der Traffic über lokale Internet-Breakouts geleitet wird. Außerdem sind keine VPNs und redundanten Sicherheits-Appliances mehr erforderlich. Als Firewall-as-a-Service-Lösung übernimmt Zscaler Updates, Upgrades und Patches. Das führt zu Kosteneinsparungen und einer geringeren Komplexität. Jede Sitzung wird protokolliert, um umfassende Transparenz und Zugriff auf die erforderlichen Informationen zu gewährleisten.
Zscaler Firewall Ingestion Mechanism |
Admin Audit |
ZSCALER_INTERNET_ACCESS |
In Zscaler Internet Access wird jede Aktion aufgezeichnet, die von Administratoren im ZIA Admin Portal ausgeführt wird, sowie die Aktionen, die über Cloud Service APIs erfolgen. Diese Protokolle liefern Informationen, mit denen Sie Änderungen an PAC-Dateien oder URL-Filterrichtlinien überprüfen können. So können Sie Änderungen nachvollziehen, die von Administratoren während Anmeldesitzungen vorgenommen wurden, und Compliance-Demonstrationen unterstützen. Sie kann verdächtige Aktivitäten oder unbefugten Zugriff auf die Verwaltungsoberfläche schnell erkennen und untersuchen. So wird die Sicherheit und Integrität Ihres Netzwerks gewährleistet.
Zscaler Internet Access Ingestion Mechanism |
DNS |
ZSCALER_DNS |
Die Dienste von Zscaler DNS Security and Control bieten Mechanismen, mit denen Sie die Kontrolle über Ihre DNS-Architektur und ‑Reaktion übernehmen können. Durch das Proxying der DNS-Anfrage können Sie die DNS-Richtlinien Ihrer Organisation in der Zscaler Zero Trust Exchange (ZTE) erzwingen. Wenn die DNS-Anfrage den ZTE erreicht, wird sie geöffnet und geprüft. DNS-Anfragen können die Prüfung nur umgehen, wenn Sie dies autorisieren, da Sie Ihre Nutzer auf die Verwendung von DNS-Servern beschränken können, die Sie angeben. Zscaler empfiehlt, den ZTR-Dienst als DNS-Resolver zu verwenden. ZTR-Instanzen sind in jedem der über 150 Rechenzentren von Zscaler auf der ganzen Welt vorhanden.
Zscaler-DNS-Aufnahmemechanismus |
Tunnel |
ZSCALER_TUNNEL |
Der Zscaler-Dienst verwendet einen einfachen HTTP-Tunnel namens Zscaler Tunnel (Z-Tunnel), um Traffic an die ZIA Public Service Edges weiterzuleiten. Wenn ein Nutzer eine Verbindung zum Web herstellt, richtet Zscaler Client Connector den Z-Tunnel zum nächstgelegenen ZIA Public Service Edge ein und leitet den Web-Traffic durch den Tunnel weiter, damit der ZIA Public Service Edge die entsprechenden Sicherheits- und Zugriffsrichtlinien anwenden kann.
Zscaler-Tunnel-Aufnahmechanismus |
CASB |
ZSCALER_CASB |
Der Zscaler Multimode Cloud Access Security Broker (CASB) schützt Cloud-Daten bei der Übertragung (über Proxy) und im Ruhezustand (über APIs). Administratoren konfigurieren eine automatisierte Richtlinie, die für konsistente Sicherheit in allen Cloud-Datenkanälen sorgt. Mit Zscaler CASB als Teil der umfassenden Zscaler Zero Trust Exchange™ (mit SWG, ZTNA und mehr) können Sie Einzelprodukte vermeiden, die IT-Komplexität reduzieren und nur den Traffic untersuchen. Zscaler CASB sichert SaaS wie Microsoft 365 und Salesforce sowie IaaS-Angebote wie Amazon S3 und verhindert riskante Freigaben, die zu Verlust vertraulicher Daten oder Nichteinhaltung von Vorschriften führen.
Zscaler CASB Ingestion Mechanism |
VPN |
ZSCALER_VPN |
Zscaler VPN bietet Nutzern den schnellsten und sichersten Zugriff auf private Anwendungen und Geräte für Betriebstechnologie (OT) und ermöglicht gleichzeitig Zero-Trust-Verbindungen für Arbeitslasten. Durch die Aufteilung des Netzwerks in kleinere Segmente zur Isolierung potenzieller Bedrohungen minimiert Zscaler Sicherheitsrisiken und die Angriffsfläche. Mithilfe von künstlicher Intelligenz werden Richtlinien basierend auf dem Kontext der Aktivitäten eines Nutzers oder Geräts durchgesetzt, um für eine hohe Sicherheit zu sorgen.
Zscaler-VPN-Aufnahmemechanismus |
ZPA |
ZSCALER_ZPA |
Zscaler Private Access (ZPA) richtet eine isolierte Umgebung für jede Anwendung ein, wodurch das Netzwerk und die Anwendungen für das Internet unsichtbar werden. Dadurch werden VPN-Sicherheitsrisiken beseitigt und IT-Teams können den Betrieb optimieren, indem sie eingehende Gateway-Appliances entfernen.
Zscaler ZPA-Aufnahmemechanismus |
DLP |
ZSCALER_DLP |
Die Zscaler Endpoint Data Loss Prevention (DLP)-Richtlinie wird verwendet, um die Organisation vor Datenverlusten an Endpunkten zu schützen. Die Endpoint-DLP-Richtlinie ergänzt die Zscaler-DLP-Richtlinie, indem sie die Überwachung sensibler Daten auf die Aktivitäten ausweitet, die Endnutzer auf Endpunkten ausführen, einschließlich Drucken, Speichern auf Wechseldatenträgern, Speichern auf Netzwerkfreigaben oder Hochladen in persönliche Cloud-Speicherkonten. Mit den benutzerdefinierten und vordefinierten DLP-Engines von Zscaler können vertrauliche Daten erkannt, Nutzeraktivitäten zugelassen oder blockiert und der Auditor der Organisation benachrichtigt werden, wenn die Aktivität eines Nutzers auf einem Endpunkt eine Endpoint-DLP-Regel auslöst.
Zscaler DLP-Aufnahmemechanismus |
ZPA Audit |
ZSCALER_ZPA_AUDIT |
Zscaler Private Access (ZPA) richtet eine isolierte Umgebung für jede Anwendung ein, wodurch das Netzwerk und die Anwendungen für das Internet unsichtbar werden. Dadurch werden VPN-Sicherheitsrisiken beseitigt und IT-Teams können den Betrieb optimieren, indem sie eingehende Gateway-Appliances entfernen. Zscaler Private Access (ZPA) umfasst eine Audit-Logging-Funktion, mit der Verwaltungsaktivitäten im ZPA Admin Portal aufgezeichnet werden. Diese Audit-Logs enthalten Details wie An- und Abmeldeversuche von Administratoren, Konfigurationsänderungen und andere von Administratoren ausgeführte Aktionen. Dies verbessert die Sicherheit und Compliance, da ein detaillierter Datensatz der administrativen Vorgänge bereitgestellt wird, was die Überwachung und Fehlerbehebung in der ZPA-Umgebung erleichtert.
Zscaler ZPA-Mechanismus für die Aufnahme von Audits |
ZSCALER_DECEPTION |
ZSCALER_DECEPTION |
Zscaler Deception ist eine auf Täuschung basierende Plattform zur Bedrohungserkennung, die als Teil der Zscaler Zero Trust Exchange bereitgestellt wird. Dies ist eine integrierte Funktion, bei der Köder/Honeypots verwendet werden, um erweiterte In-Network-Bedrohungen zu erkennen, die vorhandene Abwehrmechanismen umgangen haben. Organisationen verwenden Zscaler Deception, um kompromittierte Nutzer zu erkennen, Lateral Movement zu stoppen und sich vor von Menschen betriebener Ransomware, anpassbaren Tastaturbedrohungen, Supply-Chain-Angriffen und böswilligen Insidern zu schützen.
Zscaler Deception Ingestion Mechanism |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten