Recopila registros de Zscaler Internet Access

Compatible con:

En este documento, se describe cómo puedes exportar los registros de Zscaler Internet Access configurando un feed de Google Security Operations y cómo los campos de registro se asignan a los campos del Modelo de datos unificado (UDM) de Google SecOps.

Para obtener más información, consulta Descripción general de la transferencia de datos a Google SecOps.

Una implementación típica consta de Zscaler Internet Access y el feed de webhook de Google SecOps configurado para enviar registros a Google SecOps. Cada implementación para el cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

  • Zscaler Internet Access: Es la plataforma desde la que recopilas registros.

  • Feed de Google SecOps: Es el feed de Google SecOps que recupera registros de Zscaler Internet Access y los escribe en Google SecOps.

  • Google SecOps: Conserva y analiza los registros.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia ZSCALER_INTERNET_ACCESS.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Acceso a la consola de Zscaler Internet Access Para obtener más información, consulta la Ayuda de ZIA para el acceso seguro a Internet y SaaS.
  • Zscaler Internet Access 2024 o versiones posteriores
  • Todos los sistemas de la arquitectura de implementación están configurados con la zona horaria UTC.
  • Es la clave de API necesaria para completar la configuración del feed en Google Security Operations. Para obtener más información, consulta Cómo configurar claves de API.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de acceso a Internet de Zscaler.
  5. Selecciona Webhook como el Tipo de origen.
  6. Selecciona Zscaler Internet Access Audit Logs como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Ingresa valores para los siguientes parámetros de entrada:
    1. Delimitador de división: Es el delimitador que se usa para separar las líneas de registro. Déjalo en blanco si no se usa un delimitador.
    2. Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    3. Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  9. Haz clic en Siguiente.
  10. Revisa la nueva configuración del feed y, luego, haz clic en Enviar.
  11. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
  • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  • Haz clic en Siguiente.
  • Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  • Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.

Configura Zscaler Internet Access

  1. En la consola de Zscaler Internet Access, haz clic en Administration > Nanolog Streaming Service > Cloud NSS Feeds y, luego, en Add Cloud NSS Feed.
  2. Aparecerá la ventana Add Cloud NSS Feed. En la ventana Add Cloud NSS Feed, ingresa los detalles.
  3. Ingresa un nombre para el feed en el campo Nombre del feed.
  4. Selecciona NSS for Web en NSS Type.
  5. Selecciona el estado en la lista Estado para activar o desactivar el feed de NSS.
  6. Mantén el valor Ilimitado en el menú desplegable Tasa de SIEM. Cambia el valor para suprimir el flujo de salida debido a licencias o a otras restricciones.
  7. Selecciona Otro en la lista Tipo de SIEM.
  8. Selecciona Inhabilitada en la lista Autenticación de OAuth 2.0.
  9. Ingresa un límite de tamaño para la carga útil de una solicitud HTTP individual en la práctica recomendada del SIEM en Max Batch Size. Por ejemplo, 512 KB.

  10. Ingresa la URL HTTPS del extremo de API de Chronicle en la URL de la API con el siguiente formato:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Es la región en la que se aloja tu instancia de Chronicle. Por ejemplo, US.
    • GOOGLE_PROJECT_NUMBER: Es el número del proyecto de BYOP. Obtén este valor de C4.
    • LOCATION: Región de Chronicle. Por ejemplo, US.
    • CUSTOMER_ID: Es el ID de cliente de Chronicle. Obténla del C4.
    • FEED_ID: ID del feed que se muestra en la IU del feed en el webhook nuevo que se creó

    • URL de API de muestra:

      https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Haz clic en Agregar encabezado HTTP y, luego, agrega encabezados HTTP con el siguiente formato:

    • Header 1: Key1: X-goog-api-key y Value1: Clave de API generada en las credenciales de API de Google Cloud BYOP.
    • Header 2: Key2: X-Webhook-Access-Key y Value2: clave secreta de la API generada en la "CLAVE SECRETA" del webhook.

  12. Selecciona Registros de auditoría de administrador en la lista Tipos de registros.

  13. Selecciona JSON en la lista Tipo de salida del feed.

  14. Establece Feed Escape Character en , \ ".

  15. Para agregar un campo nuevo al Formato de salida del feed, selecciona Personalizado en la lista Tipo de salida del feed.

  16. Copia y pega el Formato de salida del feed y agrega campos nuevos. Asegúrate de que los nombres de las claves coincidan con los nombres de los campos reales.

  17. A continuación, se muestra el formato de salida del feed predeterminado:

      \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}

  18. Selecciona la zona horaria para el campo Hora en el archivo de salida en la lista Zona horaria. De forma predeterminada, la zona horaria se establece en la de tu organización.

  19. Revisa la configuración.

  20. Haz clic en Guardar para probar la conectividad. Si la conexión se realiza correctamente, aparecerá una marca de verificación verde junto con el mensaje Test Connectivity Successful: OK (200).

Para obtener más información sobre los feeds de Google SecOps, consulta la documentación sobre los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.

Si tienes problemas para crear feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Formatos de registro de Zscaler Internet Access compatibles

El analizador de Zscaler Internet Access admite registros en formato JSON.

Registros de muestra de Zscaler Internet Access compatibles

  • JSON

    {
  "sourcetype": "zscalernss-audit",
  "event": {
    "time": "Wed May 29 17:45:03 2024",
    "recordid": "6095",
    "action": "UPDATE",
    "category": "ACCESS_CONTROL_RESOURCE",
    "subcategory": "URL_CATEGORY",
    "resource": "Custom SSL Bypass",
    "interface": "UI",
    "adminid": "abc@xyz.com",
    "clientip": "198.51.100.1",
    "result": "SUCCESS",
    "errorcode": "None",
    "auditlogtype": "ZIA",
    "preaction": "{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"keywords":[]%2c"keywordsRetainingParentCategory":[]%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":[]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https: //help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":60%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}","postaction":"{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":["webcast.temoinproduction.com"]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https://help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":61%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}"}
}

Referencia de la asignación de campos

En la siguiente tabla, se enumeran los campos de registro del tipo de registro ZSCALER_INTERNET_ACCESS y sus campos de UDM correspondientes.

Log field UDM mapping Logic
metadata.event_type The metadata.event_type UDM field is set to STATUS_UPDATE.
metadata.product_name The metadata.product_name UDM field is set to Admin Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
sourcetype additional.fields[sourcetype]
time metadata.event_timestamp
recordid metadata.product_log_id
action security_result.action_details
category target.security_result.category_details
subcategory target.security_result.category_details
resource target.resource.name
interface principal.resource.attribute.labels[interface]
adminid principal.user.userid
clientip principal.ip
security_result.action If the event.result log field value is equal to SUCCESS, then the security_result.action UDM field is set to ALLOW.

Else, if the event.result log field value is equal to FAILURE, then the security_result.action UDM field is set to BLOCK.
errorcode security_result.summary
auditlogtype additional.fields[auditlogtype]
preaction principal.resource.attribute.labels Iterate through preaction object: The preaction object key is mapped to the principal.resource.attribute.labels.key UDM field and preaction object value is mapped to the principal.resource.attribute.labels.value UDM field.
postaction principal.resource.attribute.labels Iterate through postaction object: The postaction object key is mapped to the principal.resource.attribute.labels.key UDM field and postaction object value is mapped to the principal.resource.attribute.labels.value UDM field.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.