Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Zscaler Internet Access

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengekspor log Zscaler Internet Access dengan menyiapkan feed Google Security Operations dan cara kolom log dipetakan ke kolom Model Data Terpadu (UDM) Google SecOps.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google SecOps.

Deployment umum terdiri dari Zscaler Internet Access dan feed Webhook Google SecOps yang dikonfigurasi untuk mengirim log ke Google SecOps. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

Zscaler Internet Access: Platform tempat Anda mengumpulkan log.
Feed Google SecOps: Feed Google SecOps yang mengambil log dari Zscaler Internet Access dan menulis log ke Google SecOps.
Google SecOps: Mempertahankan dan menganalisis log.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan ZSCALER_INTERNET_ACCESS.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Akses ke konsol Zscaler Internet Access. Untuk mengetahui informasi selengkapnya, lihat Bantuan ZIA untuk Akses SaaS dan Internet yang Aman.
Zscaler Internet Access 2024 atau yang lebih baru
Semua sistem dalam arsitektur deployment dikonfigurasi dengan zona waktu UTC.
Kunci API yang diperlukan untuk menyelesaikan penyiapan feed di Google Security Operations. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan kunci API.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Zscaler Internet Access Logs.
Pilih Webhook sebagai Jenis Sumber.
Pilih Zscaler Internet Access Audit Logs sebagai Jenis Log.
Klik Berikutnya.
Opsional: Masukkan nilai untuk parameter input berikut:
1. Pembatas pemisahan: Pembatas yang digunakan untuk memisahkan baris log. Biarkan kosong jika pembatas tidak digunakan.
2. Namespace aset: Namespace aset.
3. Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda, lalu klik Kirim.
Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

Pembatas pemisahan: Pembatas yang digunakan untuk memisahkan baris log, seperti \n.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace aset: Namespace aset.
Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.

Menyiapkan Zscaler Internet Access

Di konsol Zscaler Internet Access, klik Administration > Nanolog Streaming Service > Cloud NSS Feeds, lalu klik Add Cloud NSS Feed.
Jendela Add Cloud NSS Feed akan muncul. Di jendela Tambahkan Feed NSS Cloud, masukkan detailnya.
Masukkan nama untuk feed di kolom Feed Name.
Pilih NSS untuk Web di NSS Type.
Pilih status dari daftar Status untuk mengaktifkan atau menonaktifkan feed NSS.
Tetapkan nilai di drop-down SIEM Rate ke Unlimited. Untuk menekan aliran output karena pemberian lisensi atau batasan lainnya, ubah nilai.
Pilih Lainnya di daftar Jenis SIEM.
Pilih Nonaktifkan dalam daftar Autentikasi OAuth 2.0.
Masukkan batas ukuran untuk payload permintaan HTTP individual ke praktik terbaik SIEM di Ukuran Batch Maksimum. Misalnya, 512 KB.
Masukkan URL HTTPS endpoint Chronicle API di URL API dalam format berikut:
```
  https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION: Region tempat instance Chronicle Anda dihosting. Misalnya, Amerika Serikat.
- GOOGLE_PROJECT_NUMBER: Nomor project BYOP. Dapatkan ini dari C4.
- LOCATION: Region Chronicle. Misalnya, Amerika Serikat.
- CUSTOMER_ID: ID pelanggan Chronicle. Dapatkan dari C4.
- FEED_ID: ID Feed yang ditampilkan di UI Feed pada webhook baru yang dibuat
- Contoh URL API:
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
Klik Tambahkan Header HTTP, lalu tambahkan header HTTP dalam format berikut:
- Header 1: Key1: X-goog-api-key dan Value1: Kunci API yang dibuat di Kredensial API Google Cloud BYOP.
- Header 2: Key2: X-Webhook-Access-Key dan Value2: Kunci rahasia API yang dihasilkan di "SECRET KEY" webhook.
Pilih Log Audit Admin di daftar Jenis Log.
Pilih JSON di daftar Jenis Output Feed.
Tetapkan Feed Escape Character ke , \ ".
Untuk menambahkan kolom baru ke Format Output Feed, pilih Kustom di daftar Jenis Output Feed.
Salin dan tempel Format Output Feed, lalu tambahkan kolom baru. Pastikan nama kunci cocok dengan nama kolom sebenarnya.

Berikut adalah Format Output Feed default:

  \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}

Pilih zona waktu untuk kolom Time dalam file output di daftar Timezone. Secara default, zona waktu ditetapkan ke zona waktu organisasi Anda.
Tinjau setelan yang dikonfigurasi.
Klik Simpan untuk menguji konektivitas. Jika koneksi berhasil, tanda centang hijau yang disertai pesan Test Connectivity Successful: OK (200) akan muncul.

Untuk mengetahui informasi selengkapnya tentang feed Google SecOps, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.

Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Operasi Keamanan Google.

Format log Zscaler Internet Access yang didukung

Parser Zscaler Internet Access mendukung log dalam format JSON.

Contoh log Zscaler Internet Access yang didukung

JSON

{
  "sourcetype": "zscalernss-audit",
  "event": {
    "time": "Wed May 29 17:45:03 2024",
    "recordid": "6095",
    "action": "UPDATE",
    "category": "ACCESS_CONTROL_RESOURCE",
    "subcategory": "URL_CATEGORY",
    "resource": "Custom SSL Bypass",
    "interface": "UI",
    "adminid": "abc@xyz.com",
    "clientip": "198.51.100.1",
    "result": "SUCCESS",
    "errorcode": "None",
    "auditlogtype": "ZIA",
    "preaction": "{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"keywords":[]%2c"keywordsRetainingParentCategory":[]%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":[]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https: //help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":60%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}","postaction":"{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":["webcast.temoinproduction.com"]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https://help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":61%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}"}
}

Referensi pemetaan kolom

Tabel berikut mencantumkan kolom log jenis log ZSCALER_INTERNET_ACCESS dan kolom UDM yang sesuai.

Log field	UDM mapping	Logic
	`metadata.event_type`	The `metadata.event_type` UDM field is set to `STATUS_UPDATE`.
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `Admin Audit`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Zscaler`.
`sourcetype`	`additional.fields[sourcetype]`
`time`	`metadata.event_timestamp`
`recordid`	`metadata.product_log_id`
`action`	`security_result.action_details`
`category`	`target.security_result.category_details`
`subcategory`	`target.security_result.category_details`
`resource`	`target.resource.name`
`interface`	`principal.resource.attribute.labels[interface]`
`adminid`	`principal.user.userid`
`clientip`	`principal.ip`
	`security_result.action`	If the `event.result` log field value is equal to `SUCCESS`, then the `security_result.action` UDM field is set to `ALLOW`. Else, if the `event.result` log field value is equal to `FAILURE`, then the `security_result.action` UDM field is set to `BLOCK`.
`errorcode`	`security_result.summary`
`auditlogtype`	`additional.fields[auditlogtype]`
`preaction`	`principal.resource.attribute.labels`	Iterate through preaction object: The `preaction object key` is mapped to the `principal.resource.attribute.labels.key` UDM field and `preaction object value` is mapped to the `principal.resource.attribute.labels.value` UDM field.
`postaction`	`principal.resource.attribute.labels`	Iterate through postaction object: The `postaction object key` is mapped to the `principal.resource.attribute.labels.key` UDM field and `postaction object value` is mapped to the `principal.resource.attribute.labels.value` UDM field.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.