Diese Seite wurde von der Cloud Translation API übersetzt.

Zscaler CASB-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Zscaler CASB-Protokolle exportieren, indem Sie einen Google Security Operations-Feed einrichten und Protokollfelder dem Unified Data Model (UDM) zuordnen.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Eine typische Bereitstellung besteht aus Zscaler CASB und einem Google SecOps-Webhook-Feed, der so konfiguriert ist, dass Protokolle an Google SecOps gesendet werden. Die Details der Bereitstellung können jedoch je nach Kunde variieren und komplexer sein.

Die Bereitstellung umfasst die folgenden Komponenten:

Zscaler CASB: Die Plattform, von der Sie Protokolle erfassen.
Google SecOps-Feed: Der Google SecOps-Feed, der Protokolle aus dem Zscaler CASB abholt und in Google SecOps schreibt.
Google SecOps: Hier werden die Protokolle aufbewahrt und analysiert.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Dieses Dokument bezieht sich speziell auf den Parser, der mit dem Datenaufnahmelabel „ZSCALER_CASB“ verknüpft ist.

Hinweise

Sie benötigen Zugriff auf die Zscaler Internet Access-Konsole. Weitere Informationen finden Sie in der ZIA-Hilfe zum sicheren Internet- und SaaS-Zugriff.
Sie müssen Zscaler CASB Version 1.0 oder 2.0 verwenden.
Alle Systeme in der Bereitstellungsarchitektur müssen mit der Zeitzone UTC konfiguriert sein.
Sie benötigen den API-Schlüssel, um die Feedeinrichtung in Google SecOps abzuschließen. Weitere Informationen finden Sie unter API-Schlüssel einrichten.

Aufnahmefeed in Google SecOps einrichten, um Zscaler CASB-Logs aufzunehmen

Gehen Sie zu Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Zscaler CASB Logs.
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Zscaler CASB als Logtyp aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter ein:
1. Trennzeichen für die Aufteilung: Das Zeichen, mit dem Logzeilen getrennt werden. Lassen Sie dieses Feld leer, wenn kein Trennzeichen verwendet wird.
2. Asset-Namespace: Der Asset-Namespace.
3. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration und klicken Sie dann auf Senden.
Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.

Zscaler CASB einrichten

Klicken Sie in der Zscaler Internet Access Console auf Verwaltung > Nanolog-Streamingdienst > Cloud NSS-Feeds > Cloud NSS-Feed hinzufügen.
Geben Sie im Fenster Cloud-NSS-Feed hinzufügen die Details ein.
Geben Sie im Feld Feedname einen eindeutigen Namen für den Feed ein.
Wählen Sie unter NSS-Typ die Option Zscaler for Web aus.
Wählen Sie in der Liste Status einen Status aus, um den NSS-Feed zu aktivieren oder zu deaktivieren.
Lassen Sie die SIEM-Rate auf Unbegrenzt, es sei denn, Sie müssen den Ausgabestream aufgrund von Lizenzierungs- oder anderen Einschränkungen drosseln.
Wählen Sie in der Liste SIEM-Typ die Option Sonstiges aus.
Wählen Sie in der Liste OAuth 2.0-Authentifizierung die Option Deaktiviert aus.
Geben Sie im Feld Max. Batch-Größe ein Größenlimit für die Nutzlast einer einzelnen HTTP-Anfrage gemäß den Best Practices der SIEM ein, z. B. 512 KB.
Geben Sie im Feld API-URL die HTTPS-URL des Chronicle API-Endpunkt im folgenden Format ein:
```
  https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION: Region, in der Ihre Google SecOps-Instanz gehostet wird. Beispiel: US.
- GOOGLE_PROJECT_NUMBER: Ihre BYOP-Projektnummer. Diese Informationen erhalten Sie von C4.
- LOCATION: Chronicle-Region (Google SecOps) (wie CHRONICLE_REGION), z. B. US.
- CUSTOMER_ID: Ihre Google SecOps-Kundennummer. Von C4 abrufen.
- FEED_ID: ID des neu erstellten Webhook-Feeds (wird in der Feed-Benutzeroberfläche angezeigt).
- Beispiel-API-URL:
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
Klicken Sie auf HTTP-Header hinzufügen und fügen Sie dann HTTP-Header im folgenden Format hinzu:
- Header 1: Key1:X-goog-api-key und Value1:API-Schlüssel, der aus den API-Anmeldedaten von Google Cloud BYOP generiert wurde.
- Header 2: Key2:X-Webhook-Access-Key und Value2:Secret API-Schlüssel, der im Webhook unter „SECRET KEY“ generiert wurde.
Wählen Sie in der Liste Logtypen die Option SaaS-Sicherheit oder SaaS-Sicherheitsaktivität aus.
Wählen Sie in der Liste Feedausgabetyp die Option JSON aus.
Legen Sie , \ " als Feed-Escape-Zeichen fest.
Wählen Sie in der Liste Feedausgabetyp die Option Benutzerdefiniert aus, um dem Feedausgabeformat ein neues Feld hinzuzufügen.
Kopieren Sie das Feedausgabeformat und fügen Sie nach Bedarf neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.

Im Folgenden finden Sie die standardmäßigen Feed-Ausgabeformate:

SaaS-Sicherheit

\{ "sourcetype" : "zscalernss-casb", "event" :\{"datetime":"%s{time}","recordid":"%d{recordid}","company":"%s{company}","tenant":"%s{tenant}","login":"%s{user}","dept":"%s{department}","applicationname":"%s{applicationname}","filename":"%s{filename}","filesource":"%s{filesource}","filemd5":"%s{filemd5}","threatname":"%s{threatname}","policy":"%s{policy}","dlpdictnames":"%s{dlpdictnames}","dlpdictcount":"%s{dlpdictcount}","dlpenginenames":"%s{dlpenginenames}","fullurl":"%s{fullurl}","lastmodtime":"%s{lastmodtime}","filescantimems":"%d{filescantimems}","filedownloadtimems":"%d{filedownloadtimems}"\}\}

SaaS-Sicherheitsaktivität

\{ "sourcetype" : "zscalernss-casb", "event" :\{"login":"%s{username}","tenant":"%s{tenant}","object_type":"%d{objtype1}","applicationname":"%s{appname}","object_name_1":"%s{objnames1}","object_name_2":"%s{objnames2}"\}\}

Wählen Sie in der Liste Zeitzone die Zeitzone für das Feld Zeit in der Ausgabedatei aus. Standardmäßig ist die Zeitzone auf die Zeitzone Ihrer Organisation festgelegt.
Prüfen Sie die konfigurierten Einstellungen.
Klicken Sie auf Speichern, um die Verbindung zu testen. Wenn die Verbindung erfolgreich ist, wird ein grünes Häkchen und die Meldung Test Connectivity Successful: OK (200) (Verbindungstest erfolgreich: OK (200)) angezeigt.

Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google SecOps-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Referenz für die Feldzuordnung

Referenz für die Feldzuordnung: ZSCALER_CASB

In der folgenden Tabelle sind die Protokollfelder des ZSCALER_CASB-Protokolltyps und die zugehörigen UDM-Felder aufgeführt.

Log field	UDM mapping	Logic
`sourcetype`	`security_result.detection_fields[sourcetype]`
`objnames2`	`about.resource.name`
`object_name_2`	`about.resource.name`
`objtypename2`	`about.resource.resource_subtype`
`externalownername`	`additional.fields[externalownername]`
`act_cnt`	`additional.fields[act_cnt]`
`attchcomponentfiletypes`	`additional.fields[attchcomponentfiletypes]`
`channel_name`	`additional.fields[channel_name]`
`collabscope`	`additional.fields[collabscope]`
`day`	`additional.fields[day]`
`dd`	`additional.fields[dd]`
`dlpdictcount`	`security_result.detection_fields[dlpdictcount]`	If the `dlpdictcount` log field value is not empty and the `dlpdictcount` log field value is not equal to `None`, then the `dlpdictcount` log field is mapped to the `security_result.detection_fields.dlpdictcount` UDM field.
`dlpenginenames`	`security_result.detection_fields[dlpenginenames]`	If the `dlpenginenames` log field value is not empty and the `dlpenginenames` log field value is not equal to `None`, then the `dlpenginenames` log field is mapped to the `security_result.detection_fields.dlpenginenames` UDM field.
`epochlastmodtime`	`additional.fields[epochlastmodtime]`
`extcollabnames`	`additional.fields[extcollabnames]`
`extownername`	`additional.fields[extownername]`
`file_msg_id`	`additional.fields[file_msg_id]`
`fileid`	`additional.fields[fileid]`
`filescantimems`	`additional.fields[filescantimems]`
`filetypecategory`	`additional.fields[filetypecategory]`
`hh`	`additional.fields[hh]`
`messageid`	`additional.fields[messageid]`
`mm`	`additional.fields[mm]`
`mon`	`additional.fields[mon]`
`msgsize`	`additional.fields[msgsize]`
`mth`	`additional.fields[mth]`
`num_ext_recpts`	`additional.fields[num_ext_recpts]`
`num_int_recpts`	`additional.fields[num_int_recpts]`
`numcollab`	`additional.fields[numcollab]`
`rtime`	`additional.fields[rtime]`
`ss`	`additional.fields[ss]`
`suburl`	`additional.fields[suburl]`
`tenant`	`additional.fields[tenant]`
`tz`	`additional.fields[tz]`
`upload_doctypename`	`additional.fields[upload_doctypename]`
`yyyy`	`additional.fields[yyyy]`
`collabnames`	`additional.fields[collabnames]`
`companyid`	`additional.fields[companyid]`
`component`	`additional.fields[component]`
`intcollabnames`	`additional.fields[intcollabnames]`	If `intcollabnames` log field value does not match the regular expression pattern `None` then, for `index` in `intcollabnames`, the `index` is mapped to the `additional.fields.value.list_value` UDM field.
`internal_collabnames`	`additional.fields[internal_collabnames]`
`external_collabnames`	`additional.fields[externalcollabnames]`
`num_external_collab`	`additional.fields[num_external_collab]`
`num_internal_collab`	`additional.fields[num_internal_collab]`
`repochtime`	`additional.fields[repochtime]`
`eventtime`	`metadata.event_timestamp`	If the `eventtime` log field value is not empty, then the `eventtime` log field is mapped to the `metadata.event_timestamp` UDM field.
`epochtime`	`metadata.event_timestamp`	If the `epochtime` log field value is not empty, then the `epochtime` log field is mapped to the `metadata.event_timestamp` UDM field.
`time`	`metadata.event_timestamp`	If the `time` log field value is not empty, then the `time` log field is mapped to the `metadata.event_timestamp` UDM field.
`datetime`	`metadata.event_timestamp`	If the `datetime` log field value is not empty, then the `datetime` log field is mapped to the `metadata.event_timestamp` UDM field.
	`metadata.event_type`	The `metadata.event_type` UDM field is set to `USER_UNCATEGORIZED`.
`act_type_name`	`metadata.product_event_type`
`recordid`	`metadata.product_log_id`
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `CASB`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`sender`	`network.email.from`	If the `sender` log field value matches the regular expression pattern `(^.@.$)`, then the `sender` log field is mapped to the `network.email.from` UDM field.
`extrecptnames`	`network.email.to`	For `index` in `extrecptnames`, the `index` is mapped to the `network.email.to` UDM field.
`internal_recptnames`	`network.email.to`	For `index` in `internal_recptnames`, the `index` is mapped to the `network.email.to` UDM field.
`external_recptnames`	`network.email.to`	For `index` in `external_recptnames`, the `index` is mapped to the `network.email.to` UDM field.
`intrecptnames`	`network.email.to`	For `index` in `intrecptnames`, the `index` is mapped to the `network.email.to` UDM field.
`applicationname`	`principal.application`	If the `applicationname` log field value is not empty, then the `applicationname` log field is mapped to the `principal.application` UDM field. Else, the `appname` log field is mapped to the `principal.application` UDM field.
`src_ip`	`principal.ip`
`fullurl`	`principal.url`	If the `fullurl` log field is not empty and the `fullurl` log field value is not equal to `Unknown URL`, then the `fullurl` log field is mapped to the `principal.url` UDM field.
`is_admin_act`	`principal.user.attribute.labels[is_admin_act]`
	`principal.user.attribute.roles.type`	If the `is_admin_act` log field value is equal to `1`, then the `principal.user.attribute.roles.type` UDM field is set to `ADMINISTRATOR`.
`company`	`principal.user.company_name`
`department`	`principal.user.department`
`dept`	`principal.user.department`
`user`	`principal.user.email_addresses`	If the `user` log field value matches the regular expression pattern `(^.@.$)`, then the `user` log field is mapped to the `principal.user.email_addresses` UDM field.
`username`	`principal.user.email_addresses`	If the `username` log field value matches the regular expression pattern `(^.@.$)`, then the `username` log field is mapped to the `principal.user.email_addresses` UDM field.
`owner`	`principal.user.email_addresses`	If the `owner` log field value matches the regular expression pattern `(^.@.$)`, then the `owner` log field is mapped to the `principal.user.email_addresses` UDM field.
`login`	`principal.user.email_addresses`	If the `login` log field value matches the regular expression pattern `(^.@.$)`, then the `login` log field is mapped to the `principal.user.email_addresses` UDM field.
`login`	`principal.user.userid`	If the `login` log field value does not match the regular expression pattern `^.+@.+$`, then the `login` log field is mapped to the `principal.user.userid` UDM field.
`malware`	`security_result.associations.name`
	`security_result.associations.type`	If the `malware` log field value is not empty, then the `security_result.associations.type` UDM field is set to `MALWARE`.
`dlpdictnames`	`security_result.detection_fields[dlpdictnames]`
`dlpidentifier`	`security_result.detection_fields[dlpidentifier]`
`filedownloadtimems`	`additional.fields[filedownloadtimems]`
`malwareclass`	`security_result.detection_fields[malwareclass]`
`msgid`	`security_result.detection_fields[msgid]`
`oattchcomponentfilenames`	`security_result.detection_fields[oattchcomponentfilenames]`
`obucketname`	`security_result.detection_fields[obucketname]`
`obucketowner`	`security_result.detection_fields[obucketowner]`
`ochannel_name`	`security_result.detection_fields[ochannel_name]`
`ocollabnames`	`security_result.detection_fields[ocollabnames]`
`odlpdictnames`	`security_result.detection_fields[odlpdictnames]`
`odlpenginenames`	`security_result.detection_fields[odlpenginenames]`
`oextcollabnames`	`security_result.detection_fields[oextcollabnames]`
`oexternal_collabnames`	`security_result.detection_fields[oexternal_collabnames]`
`oexternal_recptnames`	`security_result.detection_fields[oexternal_recptnames]`
`oexternalownername`	`security_result.detection_fields[oexternalownername]`
`oextownername`	`security_result.detection_fields[oextownername]`
`oextrecptnames`	`security_result.detection_fields[oextrecptnames]`
`ofile_msg_id`	`security_result.detection_fields[ofile_msg_id]`
`ofileid`	`security_result.detection_fields[ofileid]`
`ofullurl`	`security_result.detection_fields[ofullurl]`
`ohostname`	`security_result.detection_fields[ohostname]`
`ointcollabnames`	`security_result.detection_fields[ointcollabnames]`
`ointernal_collabnames`	`security_result.detection_fields[ointernal_collabnames]`
`ointernal_recptnames`	`security_result.detection_fields[ointernal_recptnames]`
`ointrecptnames`	`security_result.detection_fields[ointrecptnames]`
`omessageid`	`security_result.detection_fields[omessageid]`
`omsgid`	`security_result.detection_fields[omsgid]`
`oowner`	`security_result.detection_fields[oowner]`
`orulelabel`	`security_result.detection_fields[orulelabel]`
`osender`	`security_result.detection_fields[osender]`
`osharedchannel_hostname`	`security_result.detection_fields[osharedchannel_hostname]`
`otenant`	`security_result.detection_fields[otenant]`
`ouser`	`security_result.detection_fields[ouser]`
`any_incident`	`security_result.detection_fields[any_incident]`
`is_inbound`	`security_result.detection_fields[is_inbound]`
`policy`	`security_result.rule_labels[policy]`
`ruletype`	`security_result.rule_labels[ruletype]`
`rulelabel`	`security_result.rule_name`
	`security_result.severity`	If the `severity` log field value is equal to `High`, then the `security_result.severity` UDM field is set to `HIGH`. Else, if the `severity` log field value is equal to `Medium`, then the `security_result.severity` UDM field is set to `MEDIUM`. Else, if the `severity` log field value is equal to `Low`, then the `security_result.sevrity` UDM field is set to `LOW`. Else, if the `severity` log field value is equal to `Information`, then the `security_result.severity` UDM field is set to `INFORMATIONAL`.
`threatname`	`security_result.threat_name`	If the `threatname` log field value is not empty and the `dlpdictcount` log field value is not equal to `None`, then the `threatname` log field is mapped to the `security_result.threat_name` UDM field.
`filesource`	`target.file.full_path`	If the `filesource` log field value is not empty, then the `filesource` log field is mapped to the `target.file.full_path` UDM field.
`filepath`	`target.file.full_path`	If the `filesource` log field value is not empty, then the `filesource` log field is mapped to the `target.file.full_path` UDM field. Else if the `filepath` log field value is not empty, then the `filepath` log field is mapped to the `target.file.full_path` UDM field.
`lastmodtime`	`target.file.last_modification_time`	If the `lastmodtime` log field value is not empty, then the `lastmodtime` log field is mapped to the `target.file.last_modification_time` UDM field.
`file_msg_mod_time`	`target.file.last_modification_time`	If the `lastmodtime` log field value is not empty, then the `lastmodtime` log field is mapped to the `target.file.last_modification_time` UDM field. Else if the `file_msg_mod_time` log field value is not empty, then the `file_msg_mod_time` log field is mapped to the `target.file.fullpath` UDM field.
`filemd5`	`target.file.md5`	If the `filemd5` log field value is not equal to `None` and the `filemd5` log field value matches the regular expression pattern `^[a-fA-F0-9]{32}$`, then the `filemd5` log field is mapped to the `target.file.md5` UDM field. Else, if the `attchcomponentmd5s` log field value matches the regular expression pattern `^[a-fA-F0-9]{32}$`, then the `attchcomponentmd5s` log field is mapped to the `target.file.md5` UDM field.
`filetypename`	`target.file.mime_type`
`filename`	`target.file.names`
`attchcomponentfilenames`	`target.file.names`
`sha`	`target.file.sha256`
`attchcomponentfilesizes`	`target.file.size`	If the `attchcomponentfilesizes` log field value is not empty, then the `attchcomponentfilesizes` log field is mapped to the `target.file.size` UDM field.
`filesize`	`target.file.size`	If the `attchcomponentfilesizes` log field value is not empty, then the `attchcomponentfilesizes` log field is mapped to the `target.file.size` UDM field. Else if the `filesize` log field value is not empty, then the `filesize` log field is mapped to the `target.file.size` UDM field.
`sharedchannel_hostname`	`target.hostname`	If the `hostname` log field value is not empty, then the `hostname` log field is mapped to the `target.hostname` UDM field. Else if the `sharedchannel_hostname` log field value is not empty, then the `sharedchannel_hostname` log field is mapped to the `target.hostname` UDM field.
`hostname`	`target.hostname`	If the `hostname` log field value is not empty, then the `hostname` log field is mapped to the `target.hostname` UDM field.
`datacentercity`	`target.location.city`
`datacentercountry`	`target.location.country_or_region`
`datacenter`	`target.location.name`
`bucketowner`	`target.resource.attribute.labels[bucketowner]`
`projectname`	`target.resource.attribute.labels[projectname]`
`bucketname`	`target.resource.name`	If the `bucketname` log field value is not empty, then the `bucketname` log field is mapped to the `target.resource.name` UDM field.
`objnames1`	`target.resource.name`	If the `objnames1` log field value is not empty, then the `objnames1` log field is mapped to the `target.resource.name` UDM field.
`objectname`	`target.resource.name`	If the `objectname` log field value is not empty, then the `objectname` log field is mapped to the `target.resource.name` UDM field.
`reponame`	`target.resource.name`	If the `reponame` log field value is not empty, then the `reponame` log field is mapped to the `target.resource.name` UDM field.
`object_name_1`	`target.resource.name`	If the `object_name_1` log field value is not empty, then the `object_name_1` log field is mapped to the `target.resource.name` UDM field.
`bucketid`	`target.resource.product_object_id`
`objtypename1`	`target.resource.resource_subtype`	If the `objtypename1` log field value is not empty, then the `objtypename1` log field is mapped to the `target.resource.resource_subtype` UDM field.
`objecttype`	`target.resource.resource_subtype`	If the `objecttype` log field value is not empty, then the `objecttype` log field is mapped to the `target.resource.resource_subtype` UDM field.
`object_type`	`target.resource.resource_subtype`
	`target.resource.resource_type`	If the `bucketname` log field value is not empty, then the `target.resource.resource_type` UDM field is set to `STORAGE_BUCKET`. If the `reponame` log field value is not empty, then the `target.resource.resource_type` UDM field is set to `REPOSITORY`.

Nächste Schritte

Datenaufnahme in Google SecOps

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten