Zscaler Tunnel-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Zscaler Tunnel-Logs exportieren, indem Sie einen Google Security Operations-Feed einrichten, und wie Logfelder UDM-Feldern (Unified Data Model) von Google SecOps zugeordnet werden.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.

Eine typische Bereitstellung besteht aus Zscaler Tunnel und dem Google SecOps-Webhook-Feed, der so konfiguriert ist, dass Logs an Google SecOps gesendet werden. Jede Kundenbereitstellung kann unterschiedlich sein und komplexer ausfallen.

Die Bereitstellung enthält die folgenden Komponenten:

  • Zscaler Tunnel: Die Plattform, von der Sie Logs erfassen.

  • Google SecOps-Feed: Der Google SecOps-Feed, mit dem Protokolle von Zscaler Tunnel abgerufen und in Google SecOps geschrieben werden.

  • Google SecOps: Behält die Logs bei und analysiert sie.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label ZSCALER_TUNNEL.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Zugriff auf die Zscaler Internet Access-Konsole. Weitere Informationen finden Sie in der ZIA-Hilfe für sicheren Internet- und SaaS-Zugriff.
  • Zscaler Tunnel-Version 1.0 oder Version 2.0
  • Alle Systeme in der Bereitstellungsarchitektur sind mit der UTC-Zeitzone konfiguriert.
  • Der API-Schlüssel, der zum Einrichten des Feeds in Google Security Operations erforderlich ist. Weitere Informationen finden Sie unter API-Schlüssel einrichten.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Zscaler-Tunnellogs.
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Zscaler-Tunnel als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    1. Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen der Logzeilen verwendet wird. Lassen Sie das Feld leer, wenn kein Trennzeichen verwendet wird.
    2. Asset-Namespace: Der Asset-Namespace.
    3. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  11. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Asset-Namespace.
  • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  • Klicken Sie auf Weiter.
  • Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  • Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.

Zscaler Tunnel einrichten

  1. Rufen Sie in der Zscaler Internet Access Console Administration > Nanolog Streaming Service > Cloud NSS Feeds auf.
  2. Klicken Sie auf Cloud-NSS-Feed hinzufügen.
  3. Geben Sie im Feld Feed Name einen Namen für den Feed ein.
  4. Wählen Sie unter NSS-Typ die Option NSS für Tunnel aus.
  5. Wählen Sie den Status aus der Liste Status aus, um den NSS-Feed zu aktivieren oder zu deaktivieren.
  6. Lassen Sie den Wert im Drop-down-Menü SIEM Rate auf Unlimited (Unbegrenzt). Wenn Sie den Ausgabestream aufgrund von Lizenzierungs- oder anderen Einschränkungen unterdrücken möchten, ändern Sie den Wert.
  7. Wählen Sie in der Liste SIEM Type (SIEM-Typ) die Option Other (Sonstiges) aus.
  8. Wählen Sie in der Liste OAuth 2.0-Authentifizierung die Option Deaktiviert aus.
  9. Geben Sie in Max. Batchgröße ein Größenlimit für die Nutzlast einer einzelnen HTTP-Anfrage ein, das den Best Practices des SIEM entspricht (z. B. 512 KB).

  10. Geben Sie die HTTPS-URL des Chronicle API-Endpunkt in der API-URL im folgenden Format ein: 

    https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
    • CHRONICLE_REGION: Region, in der Ihre Google SecOps-Instanz gehostet wird (z. B. US).
    • GOOGLE_PROJECT_NUMBER: BYOP-Projektnummer (von C4 erhalten).
    • LOCATION: Google SecOps-Region (z. B. US).
    • CUSTOMER_ID: Google SecOps-Kunden-ID (von C4 abrufen).
    • FEED_ID: Feed-ID, die in der Feed-Benutzeroberfläche für den neu erstellten Webhook angezeigt wird.

    Beispiel für eine API-URL:

    https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs

  11. Klicken Sie auf HTTP-Header hinzufügen und fügen Sie dann HTTP-Header im folgenden Format hinzu:

    • Header 1: Key1:X-goog-api-key und Value1:API-Schlüssel, der in den API-Anmeldedaten von Google Cloud BYOP generiert wurde.
    • Header 2: Key2:X-Webhook-Access-Key und Value2:API-Schlüssel, der im Webhook unter „SECRET KEY“ generiert wurde.

  12. Wählen Sie in der Liste Logtypen die Option Tunnel aus.

  13. Wählen Sie in der Liste Feed Output Type (Ausgabetyp für Feed) die Option JSON aus.

  14. Legen Sie Feed-Escape-Zeichen auf , \ " fest.

  15. Wenn Sie dem Feed-Ausgabeformat ein neues Feld hinzufügen möchten,wählen Sie in der Liste Feed-Ausgabetyp die Option Benutzerdefiniert aus.

  16. Kopieren Sie das Feed-Ausgabeformat und fügen Sie neue Felder hinzu. Die Schlüsselnamen müssen mit den tatsächlichen Feldnamen übereinstimmen.

    Im Folgenden sind die Standard-Feed-Ausgabeformate aufgeführt:

    • Für IKE-Phase 1:

      \{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}

    • Für IKE-Phase 2:

      \{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","sourceportstart":"%d{srcportstart}","destinationportstart":"%d{destportstart}","srcipstart":"%s{srcipstart}","srcipend":"%s{srcipend}","destinationipstart":"%s{destipstart}","destinationipend":"%s{destipend}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","spi":"%d{spi}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","protocol":"%s{protocol}","tunnelprotocol":"%s{tunnelprotocol}","policydirection":"%s{policydirection}","recordid":"%d{recordid}"\}\}

    • Für Tunnelereignis:

      \{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","event":"%s{event}","eventreason":"%s{eventreason}","recordid":"%d{recordid}"\}\}

    • Beispiel:

      \{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","txbytes":"%lu{txbytes}","rxbytes":"%lu{rxbytes}","dpdrec":"%d{dpdrec}","recordid":"%d{recordid}"\}\}

  17. Wählen Sie in der Liste Zeitzone die Zeitzone für das Feld Zeit in der Ausgabedatei aus. Standardmäßig ist die Zeitzone auf die Zeitzone Ihrer Organisation eingestellt.

  18. Prüfen Sie die konfigurierten Einstellungen.

  19. Klicken Sie auf Speichern, um die Verbindung zu testen. Wenn die Verbindung erfolgreich ist, wird ein grünes Häkchen mit der Meldung Test Connectivity Successful: OK (200) angezeigt.

Weitere Informationen zu Google SecOps-Feeds finden Sie in der Dokumentation zu Google SecOps-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Unterstützte Zscaler Tunnel-Logformate

Der Zscaler Tunnel-Parser unterstützt Logs im JSON-Format.

Unterstützte Zscaler Tunnel-Beispiellogs

  • JSON

    {
  "sourcetype": "zscalernss-tunnel",
  "event": {
    "datetime": "Sun Jan 21 06:17:00 2024",
    "Recordtype": "Tunnel Samples",
    "tunneltype": "IPSec IKEv2",
    "user": "dummy-user@dummydomain.net",
    "location": "PLWSE06",
    "sourceip": "198.51.100.0",
    "destinationip": "198.51.100.1",
    "sourceport": "0",
    "txbytes": "12560",
    "rxbytes": "0",
    "dpdrec": "0",
    "recordid": "7326416289073594372"
  }
}

UDM-Zuordnungstabelle

Referenz zur Feldzuordnung: ZSCALER_TUNNEL

In der folgenden Tabelle sind die Logfelder des Logtyps ZSCALER_TUNNEL und die entsprechenden UDM-Felder aufgeführt.

Log field UDM mapping Logic
algo additional.fields[algo]
authtype additional.fields[authtype]
authentication additional.fields[authentication]
dd additional.fields[dd]
day additional.fields[day]
destinationportstart additional.fields[destinationportstart]
dpdrec additional.fields[dpdrec]
eventreason additional.fields[eventreason]
hh additional.fields[hh]
ikeversion additional.fields[ikeversion]
lifebytes additional.fields[lifebytes]
mm additional.fields[mm]
mon additional.fields[mon]
mth additional.fields[mth]
olocationname additional.fields[olocationname]
ovpncredentialname additional.fields[ovpncredentialname]
ss additional.fields[ss]
sourcetype additional.fields[sourcetype]
spi_in additional.fields[spi_in]
spi_out additional.fields[spi_out]
sourceportstart additional.fields[sourceportstart]
tz additional.fields[tz]
tunnelprotocol additional.fields[tunnelprotocol]
tunneltype additional.fields[tunneltype]
vendorname additional.fields[vendorname]
yyyy additional.fields[yyyy]
spi additional.fields[spi]
event metadata.description
datetime metadata.event_timestamp
metadata.event_type If (the srcipstart log field value is not empty or the srcipend log field value is not empty or the sourceip log field value is not empty) and (the destinationipstart log field value is not empty or the destinationip log field value is not empty or the destinationipend log field value is not empty), then the metadata.event_type UDM field is set to NETWORK_CONNECTION.

Else, if the srcipstart log field value is not empty or the srcipend log field value is not empty or the sourceip log field value is not empty, then the metadata.event_type UDM field is set to STATUS_UPDATE.

Else, the metadata.event_type UDM field is set to GENERIC_EVENT.
Recordtype metadata.product_event_type
recordid metadata.product_log_id
metadata.product_name The metadata.product_name UDM field is set to ZSCALER_TUNNEL.
metadata.vendor_name The metadata.vendor_name UDM field is set to ZSCALER.
network.direction If the policydirection log field value matches the regular expression pattern (?i)Inbound, then the network.direction UDM field is set to INBOUND.

Else, if the policydirection log field value matches the regular expression pattern (?i)Outbound, then the network.direction UDM field is set to OUTBOUND.
protocol network.ip_protocol If the protocol log field value contain one of the following values, then the protocol log field is mapped to the network.ip_protocol UDM field.
  • TCP
  • EIGRP
  • ESP
  • ETHERIP
  • GRE
  • ICMP
  • IGMP
  • IP6IN4
  • PIM
  • UDP
  • VRRP
rxbytes network.received_bytes
rxpackets network.received_packets
txbytes network.sent_bytes
txpackets network.sent_packets
lifetime network.session_duration.seconds
srcipstart principal.ip
sourceip principal.ip
srcipend principal.ip
location principal.location.name
sourceport principal.port
user principal.user.userid
destinationipstart target.ip
destinationip target.ip
destinationipend' target.ip
destinationport target.port

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten