Coletar registros do Zscaler Internet Access

Compatível com:

Neste documento, descrevemos como exportar registros do Zscaler Internet Access configurando um feed do Google Security Operations e como os campos de registro são mapeados para os campos do modelo unificado de dados (UDM) do Google SecOps.

Para mais informações, consulte Visão geral da ingestão de dados no Google SecOps.

Uma implantação típica consiste no Zscaler Internet Access e no feed de webhook do Google SecOps configurado para enviar registros ao Google SecOps. Cada implantação de cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

  • Zscaler Internet Access: a plataforma de onde você coleta registros.

  • Feed do Google SecOps: o feed do Google SecOps que busca registros do Zscaler Internet Access e grava registros no Google SecOps.

  • Google SecOps: retém e analisa os registros.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão ZSCALER_INTERNET_ACCESS.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Acesso ao console do Zscaler Internet Access. Para mais informações, consulte Ajuda do ZIA sobre acesso seguro à Internet e ao SaaS.
  • Zscaler Internet Access 2024 ou mais recente
  • Todos os sistemas na arquitetura de implantação são configurados com o fuso horário UTC.
  • A chave de API necessária para concluir a configuração do feed no Google Security Operations. Para mais informações, consulte Como configurar chaves de API.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Zscaler Internet Access.
  5. Selecione Webhook como o Tipo de origem.
  6. Selecione Registros de auditoria do Zscaler Internet Access como o Tipo de registro.
  7. Clique em Próxima.
  8. Opcional: insira valores para os seguintes parâmetros de entrada:
    1. Delimitador de divisão: o delimitador usado para separar as linhas de registros. Deixe em branco se um delimitador não for usado.
    2. Namespace do recurso: o namespace do recurso.
    3. Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
  9. Clique em Próxima.
  10. Revise a nova configuração de feed e clique em Enviar.
  11. Clique em Gerar chave secreta para autenticar este feed.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: o namespace do recurso.
  • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  • Clique em Próxima.
  • Revise a configuração do feed na tela Finalizar e clique em Enviar.
  • Clique em Gerar chave secreta para autenticar o feed.

Configurar o Zscaler Internet Access

  1. No console do Zscaler Internet Access, clique em Administração > Serviço de streaming do Nanolog > Feeds do NSS na nuvem e em Adicionar feed do NSS na nuvem.
  2. A janela Adicionar feed do NSS na nuvem vai aparecer. Na janela Adicionar feed do NSS da nuvem, insira os detalhes.
  3. Digite um nome para o feed no campo Nome do feed.
  4. Selecione NSS para Web em Tipo de NSS.
  5. Selecione o status na lista Status para ativar ou desativar o feed do NSS.
  6. Mantenha o valor no menu suspenso Taxa de SIEM como Ilimitada. Para suprimir o fluxo de saída devido a restrições de licenciamento ou outras, mude o valor.
  7. Selecione Outro na lista Tipo de SIEM.
  8. Selecione Desativado na lista Autenticação do OAuth 2.0.
  9. Insira um limite de tamanho para uma carga útil de solicitação HTTP individual na prática recomendada do SIEM em Tamanho máximo do lote. Por exemplo, 512 KB.
  10. Insira o URL HTTPS do endpoint de API do Chronicle no URL da API no seguinte formato:

      https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    
    • CHRONICLE_REGION: região em que a instância do Chronicle está hospedada. Por exemplo, US.
    • GOOGLE_PROJECT_NUMBER: número do projeto BYOP. Obtenha isso do C4.
    • LOCATION: região do Chronicle. Por exemplo, US.
    • CUSTOMER_ID: ID do cliente do Chronicle. Obtenha do C4.
    • FEED_ID: ID do feed mostrado na interface do usuário do feed no novo webhook criado
    • Exemplo de URL da API:

      https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
      
  11. Clique em Adicionar cabeçalho HTTP e adicione cabeçalhos HTTP no seguinte formato:

    • Header 1: Key1:X-goog-api-key e Value1:chave de API gerada nas credenciais de API do BYOP Google Cloud .
    • Header 2: Key2:X-Webhook-Access-Key e Value2:chave secreta da API gerada em "SECRET KEY" do webhook.
  12. Selecione Registros de auditoria de administrador na lista Tipos de registro.

  13. Selecione JSON na lista Tipo de saída do feed.

  14. Defina Caractere de escape do feed como , \ ".

  15. Para adicionar um novo campo ao Formato de saída do feed,selecione Personalizado na lista Tipo de saída do feed.

  16. Copie e cole o Formato de saída do feed e adicione novos campos. Verifique se os nomes das chaves correspondem aos nomes dos campos.

  17. Confira a seguir o Formato de saída do feed padrão:

      \{ "sourcetype" : "zscalernss-audit", "event" :\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}
    
  18. Selecione o fuso horário do campo Hora no arquivo de saída na lista Fuso horário. Por padrão, o fuso horário é definido como o da sua organização.

  19. Revise as configurações definidas.

  20. Clique em Salvar para testar a conectividade. Se a conexão for bem-sucedida, uma marca de seleção verde acompanhada da mensagem Teste de conectividade bem-sucedido: OK (200) vai aparecer.

Para mais informações sobre os feeds do Google SecOps, consulte a documentação sobre feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feed por tipo.

Se você tiver problemas ao criar feeds, entre em contato com o suporte do Google Security Operations.

Formatos de registro do Zscaler Internet Access compatíveis

O analisador do Zscaler Internet Access é compatível com registros no formato JSON.

Registros de amostra do Zscaler Internet Access compatíveis

  • JSON

    {
      "sourcetype": "zscalernss-audit",
      "event": {
        "time": "Wed May 29 17:45:03 2024",
        "recordid": "6095",
        "action": "UPDATE",
        "category": "ACCESS_CONTROL_RESOURCE",
        "subcategory": "URL_CATEGORY",
        "resource": "Custom SSL Bypass",
        "interface": "UI",
        "adminid": "abc@xyz.com",
        "clientip": "198.51.100.1",
        "result": "SUCCESS",
        "errorcode": "None",
        "auditlogtype": "ZIA",
        "preaction": "{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"keywords":[]%2c"keywordsRetainingParentCategory":[]%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":[]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https: //help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":60%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}","postaction":"{"id":{"val":130%2c"mask":255%2c"parent":"CUSTOM_SUPERCATEGORY"%2c"deprecated":false%2c"backendName":"custom_03"%2c"name":"CUSTOM_03"%2c"userConfiguredName":""}%2c"configuredName":"Custom%20SSL%20Bypass"%2c"superCategory":"USER_DEFINED"%2c"customUrlsToAdd":[]%2c"customUrlsToDelete":[]%2c"urlsRetainingParentCategoryToAdd":["webcast.temoinproduction.com"]%2c"urlsRetainingParentCategoryToDelete":[]%2c"customIpRangesToAdd":[]%2c"customIpRangesToDelete":[]%2c"ipRangesRetainingParentCategoryToAdd":[]%2c"ipRangesRetainingParentCategoryToDelete":[]%2c"customCategory":true%2c"editable":true%2c"description":"https://help.zscaler.com/zia/url-format-guidelines"%2c"type":"URL_CATEGORY"%2c"customUrlsCount":1%2c"urlsRetainingParentCategoryCount":61%2c"customIpRangesCount":0%2c"ipRangesRetainingParentCategoryCount":0%2c"urlsToAdd":[]%2c"urlsToDelete":[]%2c"dbCategorizedUrlsToAdd":[]%2c"dbCategorizedUrlsToDelete":[]}"}
    }
    

Referência de mapeamento de campos

A tabela a seguir lista os campos de registro do tipo ZSCALER_INTERNET_ACCESS e os campos correspondentes da UDM.

Log field UDM mapping Logic
metadata.event_type The metadata.event_type UDM field is set to STATUS_UPDATE.
metadata.product_name The metadata.product_name UDM field is set to Admin Audit.
metadata.vendor_name The metadata.vendor_name UDM field is set to Zscaler.
sourcetype additional.fields[sourcetype]
time metadata.event_timestamp
recordid metadata.product_log_id
action security_result.action_details
category target.security_result.category_details
subcategory target.security_result.category_details
resource target.resource.name
interface principal.resource.attribute.labels[interface]
adminid principal.user.userid
clientip principal.ip
security_result.action If the event.result log field value is equal to SUCCESS, then the security_result.action UDM field is set to ALLOW.

Else, if the event.result log field value is equal to FAILURE, then the security_result.action UDM field is set to BLOCK.
errorcode security_result.summary
auditlogtype additional.fields[auditlogtype]
preaction principal.resource.attribute.labels Iterate through preaction object: The preaction object key is mapped to the principal.resource.attribute.labels.key UDM field and preaction object value is mapped to the principal.resource.attribute.labels.value UDM field.
postaction principal.resource.attribute.labels Iterate through postaction object: The postaction object key is mapped to the principal.resource.attribute.labels.key UDM field and postaction object value is mapped to the principal.resource.attribute.labels.value UDM field.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.