Zscaler Internet Access-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Zscaler Internet Access-Logs exportieren, indem Sie einen Google Security Operations-Feed einrichten, und wie Logfelder UDM-Feldern (Unified Data Model) von Google SecOps zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Eine typische Bereitstellung besteht aus Zscaler Internet Access und dem Google SecOps-Webhook-Feed, der so konfiguriert ist, dass Logs an Google SecOps gesendet werden. Jede Kundenbereitstellung kann unterschiedlich sein und komplexer ausfallen.

Die Bereitstellung enthält die folgenden Komponenten:

  • Zscaler Internet Access: Die Plattform, von der Sie Logs erfassen.

  • Google SecOps-Feed: Der Google SecOps-Feed, mit dem Protokolle aus Zscaler Internet Access abgerufen und in Google SecOps geschrieben werden.

  • Google SecOps: Behält die Logs bei und analysiert sie.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label ZSCALER_INTERNET_ACCESS.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Zugriff auf die Zscaler Internet Access-Konsole. Weitere Informationen finden Sie in der ZIA-Hilfe für sicheren Internet- und SaaS-Zugriff.
  • Zscaler Internet Access 2024 oder höher
  • Alle Systeme in der Bereitstellungsarchitektur sind mit der UTC-Zeitzone konfiguriert.
  • Der API-Schlüssel, der zum Einrichten des Feeds in Google Security Operations erforderlich ist. Weitere Informationen finden Sie unter API-Schlüssel einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Zscaler Internet Access Logs (Zscaler Internet Access-Protokolle).
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Zscaler Internet Access Audit Logs als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter ein:
    1. Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen der Logzeilen verwendet wird. Lassen Sie das Feld leer, wenn kein Trennzeichen verwendet wird.
    2. Asset-Namespace: Der Asset-Namespace.
    3. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration und klicken Sie dann auf Senden.
  11. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Asset-Namespace.
  • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  • Klicken Sie auf Weiter.
  • Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  • Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.

Zscaler Internet Access einrichten

  1. Klicken Sie in der Zscaler Internet Access-Konsole auf Administration > Nanolog Streaming Service > Cloud NSS Feeds und dann auf Add Cloud NSS Feed (Cloud-NSS-Feed hinzufügen).
  2. Das Fenster Cloud-NSS-Feed hinzufügen wird angezeigt. Geben Sie im Fenster Cloud-NSS-Feed hinzufügen die Details ein.
  3. Geben Sie im Feld Feed Name einen Namen für den Feed ein.
  4. Wählen Sie unter NSS Type (NSS-Typ) die Option NSS for Web (NSS für Web) aus.
  5. Wählen Sie den Status aus der Liste Status aus, um den NSS-Feed zu aktivieren oder zu deaktivieren.
  6. Lassen Sie den Wert im Drop-down-Menü SIEM Rate auf Unlimited (Unbegrenzt). Wenn Sie den Ausgabestream aufgrund von Lizenzierungs- oder anderen Einschränkungen unterdrücken möchten, ändern Sie den Wert.
  7. Wählen Sie in der Liste SIEM Type (SIEM-Typ) die Option Other (Sonstiges) aus.
  8. Wählen Sie in der Liste OAuth 2.0-Authentifizierung die Option Deaktiviert aus.
  9. Geben Sie in Max Batch Size (Maximale Batchgröße) ein Größenlimit für die Nutzlast einer einzelnen HTTP-Anfrage ein, das den Best Practices des SIEM entspricht. Beispiel: 512 KB.

  10. Geben Sie die HTTPS-URL des Chronicle API-Endpunkt in der API-URL im folgenden Format ein:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Region, in der Ihre Chronicle-Instanz gehostet wird. Zum Beispiel US.
    • GOOGLE_PROJECT_NUMBER: BYOP-Projektnummer. Rufen Sie diesen Wert aus C4 ab.
    • LOCATION: Chronicle-Region. Zum Beispiel US.
    • CUSTOMER_ID: Chronicle-Kunden-ID. Von C4 erhalten.
    • FEED_ID: Feed-ID, die in der Feed-Benutzeroberfläche für den neu erstellten Webhook angezeigt wird

    • Beispiel für eine API-URL:

      https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Klicken Sie auf HTTP-Header hinzufügen und fügen Sie dann HTTP-Header im folgenden Format hinzu:

    • Header 1: Key1:X-goog-api-key und Value1:API-Schlüssel, der in den API-Anmeldedaten von Google Cloud BYOP generiert wurde.
    • Header 2: Key2:X-Webhook-Access-Key und Value2:API-Schlüssel, der im Webhook unter „SECRET KEY“ generiert wurde.

  12. Wählen Sie in der Liste Logtypen die Option Admin-Audit-Logs aus.

  13. Wählen Sie in der Liste Feed Output Type (Ausgabetyp für Feed) die Option JSON aus.

  14. Legen Sie Feed-Escape-Zeichen auf , \ " fest.

  15. Wenn Sie dem Feed-Ausgabeformat ein neues Feld hinzufügen möchten,wählen Sie in der Liste Feed-Ausgabetyp die Option Benutzerdefiniert aus.

  16. Kopieren Sie das Feed-Ausgabeformat und fügen Sie neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.

  17. Im Folgenden sehen Sie das Standard-Feed-Ausgabeformat:

      \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}

  18. Wählen Sie in der Liste Zeitzone die Zeitzone für das Feld Zeit in der Ausgabedatei aus. Standardmäßig ist die Zeitzone Ihrer Organisation festgelegt.

  19. Prüfen Sie die konfigurierten Einstellungen.

  20. Klicken Sie auf Speichern, um die Verbindung zu testen. Wenn die Verbindung erfolgreich ist, wird ein grünes Häkchen mit der Meldung Test Connectivity Successful: OK (200) angezeigt.

Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn Sie Probleme beim Erstellen von Feeds haben, wenden Sie sich an den Google Security Operations-Support.

Unterstützte Zscaler Internet Access-Protokollformate

Der Zscaler Internet Access-Parser unterstützt Logs im JSON-Format.

Unterstützte Zscaler Internet Access-Beispiellogs

  • JSON

    {
  "sourcetype": "zscalernss-audit",
  "event": {
    "time": "Wed May 29 17:45:03 2024",
    "recordid": "6095",
    "action": "UPDATE",
    "category": "ACCESS_CONTROL_RESOURCE",
    "subcategory": "URL_CATEGORY",
    "resource": "Custom SSL Bypass",
    "interface": "UI",
    "adminid": "abc@xyz.com",
    "clientip": "198.51.100.1",
    "result": "SUCCESS",
    "errorcode": "None",
    "auditlogtype": "ZIA",
    "preaction": "{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"keywords":[]%2c"keywordsRetainingParentCategory":[]%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":[]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https: //help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":60%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}","postaction":"{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":["webcast.temoinproduction.com"]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https://help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":61%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}"}
}

Referenz zur Feldzuordnung

In der folgenden Tabelle sind die Logfelder des Logtyps ZSCALER_INTERNET_ACCESS und die entsprechenden UDM-Felder aufgeführt.

Log field UDM mapping Logic
metadata.event_type The metadata.event_type UDM field is set to STATUS_UPDATE.
metadata.product_name The metadata.product_name UDM field is set to Admin Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
sourcetype additional.fields[sourcetype]
time metadata.event_timestamp
recordid metadata.product_log_id
action security_result.action_details
category target.security_result.category_details
subcategory target.security_result.category_details
resource target.resource.name
interface principal.resource.attribute.labels[interface]
adminid principal.user.userid
clientip principal.ip
security_result.action If the event.result log field value is equal to SUCCESS, then the security_result.action UDM field is set to ALLOW.

Else, if the event.result log field value is equal to FAILURE, then the security_result.action UDM field is set to BLOCK.
errorcode security_result.summary
auditlogtype additional.fields[auditlogtype]
preaction principal.resource.attribute.labels Iterate through preaction object: The preaction object key is mapped to the principal.resource.attribute.labels.key UDM field and preaction object value is mapped to the principal.resource.attribute.labels.value UDM field.
postaction principal.resource.attribute.labels Iterate through postaction object: The postaction object key is mapped to the principal.resource.attribute.labels.key UDM field and postaction object value is mapped to the principal.resource.attribute.labels.value UDM field.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten