Recoger registros de cortafuegos de Zscaler

Disponible en:

En este documento se describe cómo puede exportar registros de firewall de Zscaler configurando un feed de Google Security Operations y cómo se asignan los campos de registro a los campos del modelo de datos unificado (UDM) de Google SecOps.

Para obtener más información, consulta el artículo Descripción general de la ingesta de datos en Google SecOps.

Una implementación típica consta de Zscaler Firewall y el feed de webhook de Google SecOps configurado para enviar registros a Google SecOps. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

  • Firewall de Zscaler: la plataforma desde la que recoge los registros.

  • Feed de Google SecOps: el feed de Google SecOps que obtiene registros de Zscaler Firewall y escribe registros en Google SecOps.

  • Google SecOps: conserva y analiza los registros.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión ZSCALER_FIREWALL.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Acceso a la consola de Zscaler Internet Access. Para obtener más información, consulta la ayuda de ZIA sobre acceso seguro a Internet y SaaS.
  • Zscaler Firewall 2024 o versiones posteriores
  • Todos los sistemas de la arquitectura de implementación están configurados con la zona horaria UTC.
  • La clave de API necesaria para completar la configuración de la feed en Google Security Operations. Para obtener más información, consulta Configurar claves de API.

Configurar feeds

Para configurar este tipo de registro, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. Haga clic en el paquete de feeds Zscaler.
  4. Busca el tipo de registro que necesites y haz clic en Añadir nuevo feed.

  5. Introduce los valores de los siguientes parámetros de entrada:

    • Tipo de fuente: webhook (recomendado)
    • Delimitador de división: carácter que se usa para separar las líneas de registro. Déjelo en blanco si no se usa ningún delimitador.

    Opciones avanzadas

    • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres de recursos: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  6. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Configurar el cortafuegos de Zscaler

  1. En la consola de Zscaler Internet Access, haga clic en Administración > Servicio de streaming de Nanolog > Feeds de NSS en la nube y, a continuación, en Añadir feed de NSS en la nube.
  2. Aparecerá la ventana Añadir feed de NSS de Cloud. En la ventana Añadir feed de NSS en la nube, introduce los detalles.
  3. Escribe un nombre para el feed en el campo Nombre del feed.
  4. Seleccione NSS for Firewall (NSS para cortafuegos) en NSS Type (Tipo de NSS).
  5. Seleccione el estado en la lista Estado para activar o desactivar el feed de NSS.
  6. En el menú desplegable Tasa de SIEM, deja el valor Ilimitada. Para suprimir el flujo de salida debido a licencias u otras restricciones, cambia el valor.
  7. Seleccione Otro en la lista Tipo de SIEM.
  8. Selecciona Inhabilitado en la lista Autenticación de OAuth 2.0.
  9. Introduce un límite de tamaño para la carga útil de una solicitud HTTP individual según la práctica recomendada del SIEM en Tamaño máximo del lote. Por ejemplo, 512 KB.

  10. Introduce la URL HTTPS del endpoint de la API de Chronicle en el campo URL de la API con el siguiente formato:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: región en la que se aloja tu instancia de Chronicle. Por ejemplo, "US".
    • GOOGLE_PROJECT_NUMBER: número de proyecto de BYOP. Obtén este valor de C4.
    • LOCATION: región de Chronicle. Por ejemplo, "US".
    • CUSTOMER_ID: ID de cliente de Chronicle. Obtenido de C4.
    • FEED_ID: ID de feed que se muestra en la interfaz de usuario del feed cuando se crea un webhook
    • URL de API de ejemplo:
    https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Haga clic en Añadir encabezado HTTP y, a continuación, añada encabezados HTTP con el siguiente formato:

    • Header 1: Clave1: X-goog-api-key y Valor1: clave de API generada en las credenciales de API de Google Cloud BYOP.
    • Header 2: Clave2: X-Webhook-Access-Key y Valor2: clave secreta de la API generada en "CLAVE SECRETA" del webhook.

  12. Selecciona Registros de cortafuegos en la lista Tipos de registro.

  13. Seleccione JSON en la lista Tipo de salida del feed.

  14. Asigna el valor , \ " a Carácter de escape del feed.

  15. Para añadir un campo al Formato de salida del feed,seleccione Personalizado en la lista Tipo de salida del feed.

  16. Copia y pega el Formato de salida del feed y añade campos nuevos. Asegúrate de que los nombres de las claves coincidan con los nombres de los campos.

  17. A continuación, se muestra el formato de salida de la feed predeterminado:

      \{ "sourcetype" : "zscalernss-fw", "event" :\{"datetime":"%s{time}","user":"%s{elogin}","department":"%s{edepartment}","locationname":"%s{elocation}","cdport":"%d{cdport}","csport":"%d{csport}","sdport":"%d{sdport}","ssport":"%d{ssport}","csip":"%s{csip}","cdip":"%s{cdip}","ssip":"%s{ssip}","sdip":"%s{sdip}","tsip":"%s{tsip}","tunsport":"%d{tsport}","tuntype":"%s{ttype}","action":"%s{action}","dnat":"%s{dnat}","stateful":"%s{stateful}","aggregate":"%s{aggregate}","nwsvc":"%s{nwsvc}","nwapp":"%s{nwapp}","proto":"%s{ipproto}","ipcat":"%s{ipcat}","destcountry":"%s{destcountry}","avgduration":"%d{avgduration}","rulelabel":"%s{erulelabel}","inbytes":"%ld{inbytes}","outbytes":"%ld{outbytes}","duration":"%d{duration}","durationms":"%d{durationms}","numsessions":"%d{numsessions}","ipsrulelabel":"%s{ipsrulelabel}","threatcat":"%s{threatcat}","threatname":"%s{ethreatname}","deviceowner":"%s{deviceowner}","devicehostname":"%s{devicehostname}"\}\}

  18. Seleccione la zona horaria del campo Hora del archivo de salida en la lista Zona horaria. De forma predeterminada, la zona horaria es la de tu organización.

  19. Revisa los ajustes configurados.

  20. Haz clic en Guardar para probar la conectividad. Si la conexión se realiza correctamente, aparecerá una marca de verificación verde junto con el mensaje Prueba de conectividad correcta: OK (200).

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación de los feeds de Google SecOps. Para obtener información sobre los requisitos de cada tipo de feed, consulta el artículo Configuración de feeds por tipo.

Si tienes problemas al crear feeds, ponte en contacto con el equipo de Asistencia de SecOps de Google.

Formatos de registro de cortafuegos de Zscaler admitidos

El analizador de Zscaler Firewall admite registros en formato JSON.

Registros de ejemplo de cortafuegos de Zscaler admitidos

  • JSON:

    {
  "sourcetype": "zscalernss-fw",
  "event": {
    "datetime": "Tue Apr 11 00:44:01 2023",
    "user": "abc@test.com",
    "department": "Optum%20Tech%20UHC%20Technology",
    "locationname": "Road%20Warrior",
    "cdport": "443",
    "csport": "50407",
    "sdport": "443",
    "ssport": "36223",
    "csip": "198.51.100.8",
    "cdip": "198.51.100.7",
    "ssip": "198.51.100.9",
    "sdip": "198.51.100.10",
    "tsip": "198.51.100.11",
    "tunsport": "0",
    "tuntype": "ZscalerClientConnector",
    "action": "Allow",
    "dnat": "No",
    "stateful": "Yes",
    "aggregate": "Yes",
    "nwsvc": "ZSCALER_PROXY_NW_SERVICES",
    "nwapp": "sharepoint_document",
    "proto": "TCP",
    "ipcat": "Miscellaneous or Unknown",
    "destcountry": "Other",
    "avgduration": "239296",
    "rulelabel": "Default%20Firewall%20Filtering%20Rule",
    "inbytes": "286134",
    "outbytes": "515005",
    "duration": "6461",
    "durationms": "6461000",
    "numsessions": "27",
    "ipsrulelabel": "None",
    "threatcat": "None",
    "threatname": "None",
    "deviceowner": "dummydeviceowner",
    "devicehostname": "dummyhostname"
  }
}

Referencia de asignación de campos

En la siguiente tabla se enumeran los campos de registro del tipo de registro ZSCALER_FIREWALL y sus campos de UDM correspondientes.

Log field UDM mapping Logic
fwd_gw_name intermediary.resource.name
intermediary.resource.resource_type If the fwd_gw_name log field value is not empty or the ofwd_gw_name log field value is not empty, then the intermediary.resource.resource_type UDM field is set to GATEWAY.
ofwd_gw_name intermediary.security_result.detection_fields[ofwd_gw_name]
ordr_rulename intermediary.security_result.detection_fields[ordr_rulename]
orulelabel intermediary.security_result.detection_fields[orulelabel]
rdr_rulename intermediary.security_result.rule_name
rulelabel intermediary.security_result.rule_name
erulelabel intermediary.security_result.rule_name
bypass_etime metadata.collected_timestamp
datetime metadata.event_timestamp
epochtime metadata.event_timestamp
metadata.event_type If the sdport log field value is equal to 80 or the sdport log field value is equal to 443 and the csip log field value is not empty or the tsip log field value is not empty or the ssip log field value is not empty and the cdip log field value is not empty or the sdip log field value is not empty, then the metadata.event_type UDM field is set to NETWORK_HTTP.

Else, if the csip log field value is not empty or the tsip log field value is not empty or the ssip log field value is not empty and the cdip log field value is not empty or the sdip log field value is not empty, then the metadata.event_type UDM field is set to NETWORK_CONNECTION.

Else, if the csip log field value is not empty or the tsip log field value is not empty or the ssip log field value is not empty, then the metadata.event_type UDM field is set to STATUS_UPDATE.

Else, the metadata.event_type UDM field is set to GENERIC_EVENT.
recordid metadata.product_log_id
metadata.product_name The metadata.product_name UDM field is set to Firewall.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
proto network.ip_protocol If the proto log field value contain one of the following values, then the proto log field is mapped to the network.ip_protocol UDM field.
  • TCP
  • UDP
  • ICMP
  • GRE
  • IP6IN4
  • IGMP
inbytes network.received_bytes
outbytes network.sent_bytes
avgduration network.session_duration.nanos If the durationms log field value is empty and the avgduration log field value is not empty, then the avgduration log field is mapped to the network.session_duration.nanos UDM field.
durationms network.session_duration.nanos If the durationms log field value is not empty, then the durationms log field is mapped to the network.session_duration.nanos UDM field.
duration network.session_duration.seconds
devicename principal.asset.asset_id If the devicename log field value is not empty, then the Zscaler:devicename log field is mapped to the principal.asset.asset_id UDM field.
devicemodel principal.asset.hardware.model
devicehostname principal.asset.hostname If the devicehostname log field value is not empty, then the devicehostname log field is mapped to the principal.asset.hostname UDM field.
principal.asset.platform_software.platform If the deviceostype log field value matches the regular expression pattern (?i)iOS, then the principal.asset.platform_software.platform UDM field is set to IOS.

Else, if the deviceostype log field value matches the regular expression pattern (?i)Android, then the principal.asset.platform_software.platform UDM field is set to ANDROID.

Else, if the deviceostype log field value matches the regular expression pattern (?i)Windows, then the principal.asset.platform_software.platform UDM field is set to WINDOWS.

Else, if the deviceostype log field value matches the regular expression pattern (?i)MAC, then the principal.asset.platform_software.platform UDM field is set to MAC.

Else, if the deviceostype log field value matches the regular expression pattern (?i)Other, then the principal.asset.platform_software.platform UDM field is set to UNKNOWN_PLATFORM.
deviceosversion principal.asset.platform_software.platform_version
external_deviceid principal.asset.product_object_id
csip principal.ip
tsip principal.ip
srcip_country principal.location.country_or_region
location principal.location.name
locationname principal.location.name
ssip principal.nat_ip
ssport principal.nat_port
csport principal.port
dept principal.user.department
department principal.user.department
login principal.user.email_addresses The login field is extracted from login log field using the Grok pattern, and the login log field is mapped to the principal.user.email_addresses UDM field.
user principal.user.email_addresses The user field is extracted from user log field using the Grok pattern, and the user log field is mapped to the principal.user.email_addresses UDM field.
deviceowner principal.user.userid
security_result.action If the action log field value matches the regular expression pattern ^Allow.*, then the security_result.action UDM field is set to ALLOW.

Else, if the action log field value matches the regular expression pattern ^Drop.* or ^Block.*, then the security_result.action UDM field is set to BLOCK.

Else, if the action log field value is equal to Reset, then the security_result.action UDM field is set to BLOCK.
action security_result.action_details
threat_severity,threat_score security_result.severity If the threat_severity log field value is one of the following: CRITICAL, HIGH, MEDIUM, LOW, NONE then, the threat_severity log field is mapped to the security_result.severity UDM field.
Else, if the threat_score log field value is equal to 0 then, the security_result.severity UDM field is set to NONE. Else, if threat_score log field value > 0 and the threat_score log field value <= 45 then, the security_result.severity UDM field is set to LOW. Else, if threat_score log field value > 45 and the threat_score log field value < 75 then, the security_result.severity UDM field is set to MEDIUM. Else, if threat_score log field value >= 75 and the threat_score log field value < 90 then, the security_result.severity UDM field is set to HIGH. Else, if threat_score log field value >= 90 and the threat_score log field value <= 100 then, the security_result.severity UDM field is set to CRITICAL.
threat_severity,threat_score security_result.severity_details If the threat_score log field value is not empty and the threat_severity log field value is not empty then, %{threat_score} - %{threat_severity} log field is mapped to the security_result.severity_details UDM field.
Else, if threat_severity log field value is not empty then, threat_severity log field is mapped to the security_result.severity_details UDM field.
Else, if threat_score log field value is not empty then, threat_score log field is mapped to the security_result.severity_details UDM field.
security_result.category If the ipcat log field value is not empty or the oipcat log field value is not empty, then the security_result.category UDM field is set to NETWORK_CATEGORIZED_CONTENT.
ipcat security_result.category_details The ipcat log field is mapped to the security_result.category_details UDM field.
threatcat security_result.category_details If the threatcat log field value is not equal to None, then the threatcat log field is mapped to the security_result.category_details UDM field.
security_result.detection_fields[bypassed_session] If the bypassed_session log field value is equal to 0, then the security_result.detection_fields.bypassed_session UDM field is set to the traffic did not bypass Zscaler Client Connector.

Else, if the bypassed_session log field value is equal to 1, then the security_result.detection_fields.bypassed_session UDM field is set to the traffic bypassed Zscaler Client Connector.
odevicehostname security_result.detection_fields[odevicehostname]
odevicename security_result.detection_fields[odevicename]
odeviceowner security_result.detection_fields[odeviceowner]
oipcat security_result.detection_fields[oipcat]
oipsrulelabel security_result.detection_fields[oipsrulelabel]
numsessions security_result.detection_fields[numsessions]
security_result.rule_labels [ips_custom_signature] If the ips_custom_signature log field value is equal to 0, then the security_result.rule_labels.ips_custom_signature UDM field is set to non-custom IPS rule.

Else, if the ips_custom_signature log field value is equal to 1, then the security_result.rule_labels.ips_custom_signature UDM field is set to custom IPS rule.
ipsrulelabel security_result.rule_name If the ipsrulelabel log field value is not equal to None, then the ipsrulelabel log field is mapped to the security_result.rule_name UDM field.
threatname security_result.threat_name If the threatname log field value is not equal to None, then the threatname log field is mapped to the security_result.threat_name UDM field.
ethreatname security_result.threat_name If the ethreatname log field value is not equal to None, then the ethreatname log field is mapped to the security_result.threat_name UDM field.
nwapp target.application
cdfqdn target.domain.name
sdip target.ip
datacentercity target.location.city
destcountry target.location.country_or_region
datacentercountry target.location.country_or_region
datacenter target.location.name
cdip target.nat_ip
cdport target.nat_port
sdport target.port
odnatlabel target.security_result.detection_fields[odnatlabel]
dnat target.security_result.rule_labels[dnat]
dnatrulelabel target.security_result.rule_name
aggregate additional.fields[aggregate]
day additional.fields[day]
dd additional.fields[dd]
deviceappversion additional.fields[deviceappversion]
eedone additional.fields[eedone]
flow_type additional.fields[flow_type]
hh additional.fields[hh]
mm additional.fields[mm]
mon additional.fields[mon]
mth additional.fields[mth]
nwsvc additional.fields[nwsvc]
ocsip additional.fields[ocsip]
ozpa_app_seg_name additional.fields[ozpa_app_seg_name]
ss additional.fields[ss]
sourcetype additional.fields[sourcetype]
stateful additional.fields[stateful]
tz additional.fields[tz]
tuntype additional.fields[traffic_forwarding_method]
tunsport additional.fields[tunsport]
yyyy additional.fields[yyyy]
zpa_app_seg_name additional.fields[zpa_app_seg_name]
ztunnelversion additional.fields[ztunnelversion]

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.