Raccogliere i log di Zscaler Internet Access

Supportato in:

Questo documento descrive come esportare i log di Zscaler Internet Access configurando un feed Google Security Operations e come i campi dei log vengono mappati ai campi del modello di dati unificato (UDM) di Google SecOps.

Per ulteriori informazioni, consulta la panoramica dell'importazione dei dati in Google SecOps.

Un deployment tipico è costituito da Zscaler Internet Access e dal feed webhook di Google SecOps configurato per inviare i log a Google SecOps. Ogni implementazione del cliente può variare ed essere più complessa.

Il deployment contiene i seguenti componenti:

  • Zscaler Internet Access: la piattaforma da cui raccogli i log.

  • Feed Google SecOps: il feed Google SecOps che recupera i log da Zscaler Internet Access e li scrive in Google SecOps.

  • Google SecOps: conserva e analizza i log.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione ZSCALER_INTERNET_ACCESS.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Accesso alla console Zscaler Internet Access. Per saperne di più, consulta Secure Internet and SaaS Access ZIA Help.
  • Zscaler Internet Access 2024 o versioni successive
  • Tutti i sistemi nell'architettura di deployment sono configurati con il fuso orario UTC.
  • La chiave API necessaria per completare la configurazione del feed in Google Security Operations. Per ulteriori informazioni, vedi Configurazione delle chiavi API.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Zscaler Internet Access Logs.
  5. Seleziona Webhook come tipo di origine.
  6. Seleziona Zscaler Internet Access Audit Logs (Log di controllo dell'accesso a internet di Zscaler) come Tipo di log.
  7. Fai clic su Avanti.
  8. (Facoltativo) Inserisci i valori per i seguenti parametri di input:
    1. Delimitatore di divisione: il delimitatore utilizzato per separare le righe dei log. Lascia vuoto se non viene utilizzato un delimitatore.
    2. Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    3. Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  9. Fai clic su Avanti.
  10. Controlla la nuova configurazione del feed e poi fai clic su Invia.
  11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
  • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  • Fai clic su Avanti.
  • Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
  • Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.

Configurare Zscaler Internet Access

  1. Nella console Zscaler Internet Access, fai clic su Amministrazione > Servizio di streaming Nanolog > Feed NSS cloud e poi su Aggiungi feed NSS cloud.
  2. Viene visualizzata la finestra Aggiungi feed NSS cloud. Nella finestra Aggiungi feed NSS cloud, inserisci i dettagli.
  3. Inserisci un nome per il feed nel campo Nome feed.
  4. Seleziona NSS per il web in Tipo di NSS.
  5. Seleziona lo stato dall'elenco Stato per attivare o disattivare il feed NSS.
  6. Mantieni il valore Illimitato nel menu a discesa Tasso SIEM. Per sopprimere il flusso di output a causa di licenze o altri vincoli, modifica il valore.
  7. Seleziona Altro nell'elenco Tipo SIEM.
  8. Seleziona Disattivato nell'elenco Autenticazione OAuth 2.0.
  9. Inserisci un limite di dimensioni per un singolo payload della richiesta HTTP nella best practice del SIEM in Dimensione massima batch. Ad esempio, 512 KB.

  10. Inserisci l'URL HTTPS dell'endpoint API Chronicle nell'URL API nel seguente formato:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: la regione in cui è ospitata l'istanza Chronicle. Ad esempio, Stati Uniti.
    • GOOGLE_PROJECT_NUMBER: numero di progetto BYOP. Ottienilo da C4.
    • LOCATION: la regione Chronicle. Ad esempio, Stati Uniti.
    • CUSTOMER_ID: ID cliente Chronicle. Ottenere da C4.
    • FEED_ID: ID feed mostrato nell'interfaccia utente del feed nel nuovo webhook creato

    • URL API di esempio:

      https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Fai clic su Aggiungi intestazione HTTP e poi aggiungi le intestazioni HTTP nel seguente formato:

    • Header 1: Key1: X-goog-api-key e Value1: chiave API generata nelle credenziali API BYOP. Google Cloud
    • Header 2: Key2: X-Webhook-Access-Key e Value2: chiave segreta API generata in "SECRET KEY" (CHIAVE SEGRETA) del webhook.

  12. Seleziona Log di controllo amministratore nell'elenco Tipi di log.

  13. Seleziona JSON nell'elenco Tipo di output feed.

  14. Imposta Carattere di escape feed su , \ ".

  15. Per aggiungere un nuovo campo a Formato output feed,seleziona Personalizzato nell'elenco Tipo di output feed.

  16. Copia e incolla il Formato output feed e aggiungi nuovi campi. Assicurati che i nomi delle chiavi corrispondano ai nomi dei campi effettivi.

  17. Di seguito è riportato il formato di output del feed predefinito:

      \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}

  18. Seleziona il fuso orario per il campo Ora nel file di output nell'elenco Fuso orario. Per impostazione predefinita, il fuso orario è impostato su quello della tua organizzazione.

  19. Rivedi le impostazioni configurate.

  20. Fai clic su Salva per verificare la connettività. Se la connessione è riuscita, viene visualizzato un segno di spunta verde accompagnato dal messaggio Test Connectivity Successful: OK (200).

Per saperne di più sui feed Google SecOps, consulta la documentazione sui feed Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google Security Operations.

Formati dei log di Zscaler Internet Access supportati

Il parser Zscaler Internet Access supporta i log in formato JSON.

Log di esempio di Zscaler Internet Access supportati

  • JSON

    {
  "sourcetype": "zscalernss-audit",
  "event": {
    "time": "Wed May 29 17:45:03 2024",
    "recordid": "6095",
    "action": "UPDATE",
    "category": "ACCESS_CONTROL_RESOURCE",
    "subcategory": "URL_CATEGORY",
    "resource": "Custom SSL Bypass",
    "interface": "UI",
    "adminid": "abc@xyz.com",
    "clientip": "198.51.100.1",
    "result": "SUCCESS",
    "errorcode": "None",
    "auditlogtype": "ZIA",
    "preaction": "{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"keywords":[]%2c"keywordsRetainingParentCategory":[]%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":[]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https: //help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":60%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}","postaction":"{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":["webcast.temoinproduction.com"]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https://help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":61%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}"}
}

Riferimento alla mappatura dei campi

La tabella seguente elenca i campi di log del tipo di log ZSCALER_INTERNET_ACCESS e i relativi campi UDM.

Log field UDM mapping Logic
metadata.event_type The metadata.event_type UDM field is set to STATUS_UPDATE.
metadata.product_name The metadata.product_name UDM field is set to Admin Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
sourcetype additional.fields[sourcetype]
time metadata.event_timestamp
recordid metadata.product_log_id
action security_result.action_details
category target.security_result.category_details
subcategory target.security_result.category_details
resource target.resource.name
interface principal.resource.attribute.labels[interface]
adminid principal.user.userid
clientip principal.ip
security_result.action If the event.result log field value is equal to SUCCESS, then the security_result.action UDM field is set to ALLOW.

Else, if the event.result log field value is equal to FAILURE, then the security_result.action UDM field is set to BLOCK.
errorcode security_result.summary
auditlogtype additional.fields[auditlogtype]
preaction principal.resource.attribute.labels Iterate through preaction object: The preaction object key is mapped to the principal.resource.attribute.labels.key UDM field and preaction object value is mapped to the principal.resource.attribute.labels.value UDM field.
postaction principal.resource.attribute.labels Iterate through postaction object: The postaction object key is mapped to the principal.resource.attribute.labels.key UDM field and postaction object value is mapped to the principal.resource.attribute.labels.value UDM field.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.