Zscaler DLP-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Zscaler DLP-Logs exportieren, indem Sie einen Google Security Operations-Feed einrichten. Außerdem wird erläutert, wie Logfelder UDM-Feldern (Unified Data Model) von Google SecOps zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Eine typische Bereitstellung besteht aus Zscaler DLP und dem Google SecOps-Webhook-Feed, der so konfiguriert ist, dass Logs an Google SecOps gesendet werden. Jede Kundenbereitstellung kann unterschiedlich sein und komplexer ausfallen.

Die Bereitstellung enthält die folgenden Komponenten:

  • Zscaler DLP: Die Plattform, von der Sie Logs erfassen.

  • Google SecOps-Feed: Der Google SecOps-Feed, mit dem Protokolle aus Zscaler DLP abgerufen und in Google SecOps geschrieben werden.

  • Google Security Operations: Die Logs werden aufbewahrt und analysiert.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label ZSCALER_DLP.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Zugriff auf die Zscaler Internet Access-Konsole. Weitere Informationen finden Sie in der ZIA-Hilfe für sicheren Internet- und SaaS-Zugriff.
  • Zscaler DLP 2024 oder höher
  • Alle Systeme in der Bereitstellungsarchitektur sind mit der UTC-Zeitzone konfiguriert.
  • Der API-Schlüssel, der zum Einrichten des Feeds in Google Security Operations erforderlich ist. Weitere Informationen finden Sie unter API-Schlüssel einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Zscaler DLP Logs (Zscaler DLP-Protokolle).
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Zscaler DLP als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    1. Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen der Logzeilen verwendet wird. Lassen Sie das Feld leer, wenn kein Trennzeichen verwendet wird.
    2. Asset-Namespace: Der Asset-Namespace.
    3. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  11. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Asset-Namespace.
  • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  • Klicken Sie auf Weiter.
  • Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  • Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  • Klicken Sie auf Weiter.
  • Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).

Zscaler DLP einrichten

  1. Rufen Sie in der Zscaler Internet Access Console Administration > Nanolog Streaming Service > Cloud NSS Feeds auf.
  2. Klicken Sie auf Cloud-NSS-Feed hinzufügen.
  3. Geben Sie im Feld Feed Name einen Namen für den Feed ein.
  4. Wählen Sie unter NSS Type (NSS-Typ) die Option NSS for Web (NSS für Web) aus.
  5. Wählen Sie den Status aus der Liste Status aus, um den NSS-Feed zu aktivieren oder zu deaktivieren.
  6. Lassen Sie den Wert im Menü SIEM Rate auf Unlimited (Unbegrenzt) eingestellt. Wenn Sie den Ausgabestream aufgrund von Lizenzierungs- oder anderen Einschränkungen unterdrücken möchten, ändern Sie den Wert.
  7. Wählen Sie in der Liste SIEM Type (SIEM-Typ) die Option Other (Sonstiges) aus.
  8. Wählen Sie in der Liste OAuth 2.0-Authentifizierung die Option Deaktiviert aus.
  9. Geben Sie in Max. Batchgröße ein Größenlimit für die Nutzlast einer einzelnen HTTP-Anfrage ein, das den Best Practices des SIEM entspricht (z. B. 512 KB).

  10. Geben Sie die HTTPS-URL des Chronicle API-Endpunkt in der API-URL im folgenden Format ein: 

    https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Region, in der Ihre Google SecOps-Instanz gehostet wird (z. B. US).
    • GOOGLE_PROJECT_NUMBER: BYOP-Projektnummer (von C4 erhalten).
    • LOCATION: Google SecOps-Region (z. B. US).
    • CUSTOMER_ID: Google SecOps-Kunden-ID (von C4 abrufen).
    • FEED_ID: Feed-ID, die in der Feed-Benutzeroberfläche für den neu erstellten Webhook angezeigt wird.

    Beispiel für eine API-URL:

    https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Klicken Sie auf HTTP-Header hinzufügen und fügen Sie dann HTTP-Header im folgenden Format hinzu:

    • Header 1: Key1:X-goog-api-key und Value1:API-Schlüssel, der in den API-Anmeldedaten von Google Cloud BYOP generiert wurde.
    • Header 2: Key2:X-Webhook-Access-Key und Value2:API-Schlüssel, der im Webhook unter „SECRET KEY“ generiert wurde.

  12. Wählen Sie Endpoint DLP aus der Liste Logtypen aus.

  13. Wählen Sie in der Liste Feed Output Type (Ausgabetyp für Feed) die Option JSON aus.

  14. Legen Sie Feed-Escape-Zeichen auf , \ " fest.

  15. Wenn Sie dem Feed-Ausgabeformat ein neues Feld hinzufügen möchten,wählen Sie in der Liste Feed-Ausgabetyp die Option Benutzerdefiniert aus.

  16. Kopieren Sie das Feed-Ausgabeformat und fügen Sie neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.

    Das ist das Standardformat für die Feed-Ausgabe:

    \{ "sourcetype" : "zscalernss-edlp", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","login":"%s{user}","dept":"%s{department}","filetypename":"%s{filetypename}","filemd5":"%s{filemd5}","dlpdictnames":"%s{dlpdictnames}","dlpdictcount":"%s{dlpcounts}","dlpenginenames":"%s{dlpengnames}","channel":"%s{channel}","actiontaken":"%s{actiontaken}","severity":"%s{severity}","rulename":"%s{triggeredrulelabel}","itemdstname":"%s{itemdstname}"\}\}

  17. Wählen Sie in der Liste Zeitzone die Zeitzone für das Feld Zeit in der Ausgabedatei aus. Standardmäßig ist die Zeitzone auf die Zeitzone Ihrer Organisation eingestellt.

  18. Prüfen Sie die konfigurierten Einstellungen.

  19. Klicken Sie auf Speichern, um die Verbindung zu testen. Wenn die Verbindung erfolgreich ist, wird ein grünes Häkchen mit der Meldung Test Connectivity Successful: OK (200) angezeigt.

Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google SecOps-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Unterstützte Zscaler DLP-Logformate

Der Zscaler DLP-Parser unterstützt Logs im JSON-Format.

Unterstützte Zscaler DLP-Beispiellogs

  • JSON:

    {
  "sourcetype": "zscalernss-edlp",
  "event": {
    "time": "Thu Jun 20 21:14:56 2024",
    "recordid": "7382697059455533057",
    "login": "dummy@domain.com",
    "dept": "General Group",
    "filetypename": "xlsx",
    "filemd5": "9a2d0d62c22994a98f65939ddcd3eb8f",
    "dlpdictnames": "Social Security Number (US): Detect leakage of United States Social Security Numbers|Credit Cards: Detect leakage of credit card information|Aadhaar Card Number (India): Detect Leakage of Indian Aadhaar Card Numbers",
    "dlpdictcount": "1428|141|81",
    "dlpenginenames": "Dummy Engine|cc|PCI|GLBA|HIPAA",
    "channel": "Removable Storage",
    "actiontaken": "Confirm Allow",
    "severity": "High Severity",
    "rulename": "Endpoint_DLP_",
    "itemdstname": "Removable Storage"
  }
}

UDM-Zuordnungstabelle

In der folgenden Tabelle sind die Logfelder des Logtyps ZSCALER_DLP und die entsprechenden UDM-Felder aufgeführt.

Log field UDM mapping Logic
mon additional.fields[mon]
day additional.fields[day]
scantime additional.fields[scantime]
numdlpengids additional.fields[numdlpengids]
numdlpdictids additional.fields[numdlpdictids]
recordid metadata.product_log_id
scanned_bytes additional.fields[scanned_bytes]
dlpidentifier security_result.detection_fields[dlpidentifier]
login principal.user.user_display_name
b64user principal.user.user_display_name
euser principal.user.user_display_name
ouser security_result.detection_fields[ouser]
dept principal.user.department
b64department principal.user.department
edepartment principal.user.department
odepartment security_result.detection_fields[odepartment]
odevicename security_result.detection_fields[odevicename]
devicetype principal.asset.attribute.labels[devicetype]
principal.asset.platform_software.platform If the deviceostype log field value matches the regular expression pattern (?i)Windows, then the principal.asset.platform_software.platform UDM field is set to WINDOWS.
principal.asset.asset_id If the devicename log field value is not empty, then the asset_id:devicename log field is mapped to the principal.asset.asset_id UDM field.

If the b64devicename log field value is not empty, then the asset_id:b64devicename log field is mapped to the principal.asset.asset_id UDM field.

If the edevicename log field value is not empty, then the asset_id:edevicename log field is mapped to the principal.asset.asset_id UDM field.
deviceplatform principal.asset.attribute.labels[deviceplatform]
deviceosversion principal.asset.platform_software.platform_version
devicemodel principal.asset.hardware.model
deviceappversion additional.fields[deviceappversion]
deviceowner principal.user.userid
b64deviceowner principal.user.userid
edeviceowner principal.user.userid
odeviceowner security_result.detection_fields[odeviceowner]
devicehostname principal.hostname
b64devicehostname principal.hostname
edevicehostname principal.hostname
odevicehostname security_result.detection_fields[odevicehostname]
datacenter target.location.name
datacentercity target.location.city
datacentercountry target.location.country_or_region
dsttype target.resource.resource_subtype
filedoctype additional.fields[filedoctype]
filedstpath target.file.full_path
b64filedstpath target.file.full_path
efiledstpath target.file.full_path
filemd5 target.file.md5 If the filemd5 log field value matches the regular expression pattern ^[0-9a-f]+$, then the filemd5 log field is mapped to the target.file.md5 UDM field.
filesha target.file.sha256 If the filesha log field value matches the regular expression pattern ^[0-9a-f]+$, then the filesha log field is mapped to the target.file.sha256 UDM field.
filesrcpath src.file.full_path
b64filesrcpath src.file.full_path
efilesrcpath src.file.full_path
filetypecategory additional.fields[filetypecategory]
filetypename target.file.mime_type
itemdstname target.resource.name
b64itemdstname target.resource.name
eitemdstname target.resource.name
itemname target.resource.attribute.labels[itemname]
b64itemname target.resource.attribute.labels[itemname]
eitemname target.resource.attribute.labels[itemname]
itemsrcname src.resource.name
b64itemsrcname src.resource.name
eitemsrcname src.resource.name
itemtype target.resource.attribute.labels[itemtype]
ofiledstpath security_result.detection_fields[ofiledstpath]
ofilesrcpath security_result.detection_fields[ofilesrcpath]
oitemdstname security_result.detection_fields[oitemdstname]
oitemname security_result.detection_fields[oitemname]
odlpengnames security_result.detection_fields[odlpengnames]
oitemsrcname security_result.detection_fields[oitemsrcname]
srctype src.resource.resource_subtype
actiontaken security_result.action_details
security_result.action If the actiontaken log field value matches the regular expression pattern (?i)allow, then the security_result.action UDM field is set to ALLOW.

Else, if the actiontaken log field value matches the regular expression pattern (?i)block, then the security_result.action UDM field is set to BLOCK.
activitytype metadata.product_event_type
addinfo additional.fields[addinfo]
channel security_result.detection_fields[channel]
confirmaction security_result.detection_fields[confirmaction]
confirmjust security_result.description
dlpdictcount security_result.detection_fields[dlpdictcount]
dlpdictnames security_result.detection_fields[dlpdictnames]
b64dlpdictnames security_result.detection_fields[dlpdictnames]
edlpdictnames security_result.detection_fields[dlpdictnames]
dlpenginenames security_result.detection_fields[dlpenginenames]
b64dlpengnames security_result.detection_fields[dlpenginenames]
edlpengnames security_result.detection_fields[dlpenginenames]
expectedaction security_result.detection_fields[expectedaction]
logtype security_result.category_details
odlpdictnames security_result.detection_fields[odlpdictnames]
ootherrulelabels security_result.detection_fields[ootherrulelabels]
otherrulelabels security_result.rule_labels[otherrulelabels]
b64otherrulelabels security_result.rule_labels[otherrulelabels]
eotherrulelabels security_result.rule_labels[otherrulelabels]
otriggeredrulelabel security_result.rule_labels[otriggeredrulelabel]
severity security_result.severity_details
security_result.severity If the severity log field value matches the regular expression pattern (?i)High, then the security_result.severity UDM field is set to HIGH.

Else, if the severity log field value matches the regular expression pattern (?i)Medium, then the security_result.severity UDM field is set to MEDIUM.

Else, if the severity log field value matches the regular expression pattern (?i)Low, then the security_result.severity UDM field is set to LOW.

Else, if the severity log field value matches the regular expression pattern (?i)Info, then the security_result.severity UDM field is set to INFORMATIONAL.
rulename security_result.rule_name
b64triggeredrulelabel security_result.rule_name
etriggeredrulelabel security_result.rule_name
zdpmode security_result.detection_fields[zdpmode]
tz additional.fields[tz]
ss additional.fields[ss]
mm additional.fields[mm]
hh additional.fields[hh]
dd additional.fields[dd]
mth additional.fields[mth]
yyyy additional.fields[yyyy]
sourcetype additional.fields[sourcetype]
eventtime metadata.event_timestamp
time metadata.collected_timestamp
rtime additional.fields[rtime]
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
metadata.product_name The metadata.product_name UDM field is set to DLP.
metadata.event_type If the activitytype log field value contain one of the following values, then the metadata.event_type UDM field is set to FILE_UNCATEGORIZED.
  • Upload
  • Download
Else, if the activitytype log field value is equal to File Copy, then the metadata.event_type UDM field is set to FILE_COPY.

Else, if the activitytype log field value is equal to File Read, then the metadata.event_type UDM field is set to FILE_READ.

Else, if the activitytype log field value is equal to File Write, then the metadata.event_type UDM field is set to FILE_MODIFICATION.

Else, if the activitytype log field value is equal to Email Sent, then the metadata.event_type UDM field is set to EMAIL_UNCATEGORIZED.

Else, if the activitytype log field value is equal to Print, then the metadata.event_type UDM field is set to STATUS_UPDATE.

Else, the metadata.event_type UDM field is set to GENERIC_EVENT.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten