このページは Cloud Translation API によって翻訳されました。

Zscaler Tunnel ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations フィードを設定して Zscaler Tunnel のログをエクスポートする方法と、ログフィールドが Google SecOps 統合データモデル（UDM）フィールドにマッピングされる方法について説明します。

詳細については、Google SecOps へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、Zscaler Tunnel と、Google SecOps にログを送信するように構成された Google SecOps Webhook フィードで構成されます。お客様のデプロイはそれぞれ異なり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

Zscaler Tunnel: ログを収集するプラットフォーム。
Google SecOps フィード: Zscaler Tunnel からログを取得して Google SecOps に書き込む Google SecOps フィード。
Google SecOps: ログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、ZSCALER_TUNNEL ラベルが付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認します。

Zscaler Internet Access コンソールへのアクセス権。詳細については、インターネットと SaaS への安全なアクセス ZIA のヘルプをご覧ください。
Zscaler Tunnel バージョン 1.0 またはバージョン 2.0
デプロイアーキテクチャ内のすべてのシステムが、UTC タイムゾーンで構成されている。
Google Security Operations でフィードの設定を完了するために必要な API キー。詳細については、API キーの設定をご覧ください。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクトファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで、[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Zscaler Tunnel Logs）。
[ソースの種類] として [Webhook] を選択します。
[ログタイプ] として [Zscaler Tunnel] を選択します。
[次へ] をクリックします。
省略可: 次の入力パラメータの値を指定します。
1. Split delimiter: ログ行を区切るために使用される区切り文字（区切り文字が使用されていない場合は空白のままにします）。
2. アセットの名前空間: アセットの名前空間。
3. Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
[シークレットキーを生成する] をクリックして、このフィードを認証するためのシークレットキーを生成します。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

Split delimiter: ログ行を区切るために使用される区切り文字（\n など）。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。
[秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレットキーを生成します。

Zscaler Tunnel を設定する

Zscaler Internet Access コンソールで、[管理> Nanolog ストリーミングサービス > クラウド NSS フィード] に移動します。
[クラウド NSS フィードを追加] をクリックします。
[フィード名] フィールドにフィードの名前を入力します。
[NSS タイプ] で [NSS for Tunnel] を選択します。
[ステータス] リストからステータスを選択して、NSS フィードを有効または無効にします。
[SIEM レート] プルダウンの値は [無制限] のままにします。ライセンスなどの制約により出力ストリームを抑制するには、値を変更します。
[SIEM タイプ] リストで [その他] を選択します。
[OAuth 2.0 認証] リストで [無効] を選択します。
個々の HTTP リクエストペイロードのサイズ上限を SIEM のベストプラクティスとして [最大バッチサイズ] に入力します（例: 512 KB）。
Chronicle API エンドポイントの HTTPS URL を次の形式で API URL に入力します。
```
https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION: Google SecOps インスタンスがホストされているリージョン（例: US）。
- GOOGLE_PROJECT_NUMBER: BYOP プロジェクト番号（C4 から取得）。
- LOCATION: Google SecOps リージョン（例: US）。
- CUSTOMER_ID: Google SecOps のお客様 ID（C4 から取得）。
- FEED_ID: 新しい Webhook の作成時にフィード UI に表示されるフィード ID。
API URL の例:
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
[HTTP ヘッダーを追加] をクリックし、次の形式で HTTP ヘッダーを追加します。
- Header 1: Key1: X-goog-api-key、Value1: Google Cloud BYOP の API 認証情報で生成された API キー。
- Header 2: Key2: X-Webhook-Access-Key と Value2: ウェブフックの [SECRET KEY] で生成された API シークレットキー。
[ログタイプ] リストで [トンネル] を選択します。
[フィード出力タイプ] リストで [JSON] を選択します。
[Feed Escape Character] を , \ " に設定します。
フィード出力形式に新しいフィールドを追加するには、[フィード出力タイプ] リストで [カスタム] を選択します。

[フィード出力形式] をコピーして貼り付け、新しいフィールドを追加します。キー名が実際のフィールド名と一致していることを確認します。

デフォルトの [フィード出力形式] は次のとおりです。

IKE フェーズ 1 の場合:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}

IKE フェーズ 2 の場合:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","sourceportstart":"%d{srcportstart}","destinationportstart":"%d{destportstart}","srcipstart":"%s{srcipstart}","srcipend":"%s{srcipend}","destinationipstart":"%s{destipstart}","destinationipend":"%s{destipend}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","spi":"%d{spi}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","protocol":"%s{protocol}","tunnelprotocol":"%s{tunnelprotocol}","policydirection":"%s{policydirection}","recordid":"%d{recordid}"\}\}

Tunnel Event の場合:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","event":"%s{event}","eventreason":"%s{eventreason}","recordid":"%d{recordid}"\}\}

サンプル:

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","txbytes":"%lu{txbytes}","rxbytes":"%lu{rxbytes}","dpdrec":"%d{dpdrec}","recordid":"%d{recordid}"\}\}

[タイムゾーン] リストで、出力ファイルの [時間] フィールドのタイムゾーンを選択します。デフォルトでは、タイムゾーンは組織のタイムゾーンに設定されています。
構成された設定を確認します。
[保存] をクリックして接続をテストします。接続に成功すると、緑色のチェックマークと [Test Connectivity Successful: OK (200)] というメッセージが表示されます。

Google SecOps フィードの詳細については、Google SecOps フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

サポートされている Zscaler トンネルログ形式

Zscaler Tunnel パーサーは JSON 形式のログをサポートしています。

サポートされている Zscaler Tunnel のサンプルログ

JSON

{
  "sourcetype": "zscalernss-tunnel",
  "event": {
    "datetime": "Sun Jan 21 06:17:00 2024",
    "Recordtype": "Tunnel Samples",
    "tunneltype": "IPSec IKEv2",
    "user": "dummy-user@dummydomain.net",
    "location": "PLWSE06",
    "sourceip": "198.51.100.0",
    "destinationip": "198.51.100.1",
    "sourceport": "0",
    "txbytes": "12560",
    "rxbytes": "0",
    "dpdrec": "0",
    "recordid": "7326416289073594372"
  }
}

UDM マッピングテーブル

フィールドマッピングリファレンス: ZSCALER_TUNNEL

次の表に、ZSCALER_TUNNEL ログタイプのログフィールドと、対応する UDM フィールドを示します。

Log field	UDM mapping	Logic
`algo`	`additional.fields[algo]`
`authtype`	`additional.fields[authtype]`
`authentication`	`additional.fields[authentication]`
`dd`	`additional.fields[dd]`
`day`	`additional.fields[day]`
`destinationportstart`	`additional.fields[destinationportstart]`
`dpdrec`	`additional.fields[dpdrec]`
`eventreason`	`additional.fields[eventreason]`
`hh`	`additional.fields[hh]`
`ikeversion`	`additional.fields[ikeversion]`
`lifebytes`	`additional.fields[lifebytes]`
`mm`	`additional.fields[mm]`
`mon`	`additional.fields[mon]`
`mth`	`additional.fields[mth]`
`olocationname`	`additional.fields[olocationname]`
`ovpncredentialname`	`additional.fields[ovpncredentialname]`
`ss`	`additional.fields[ss]`
`sourcetype`	`additional.fields[sourcetype]`
`spi_in`	`additional.fields[spi_in]`
`spi_out`	`additional.fields[spi_out]`
`sourceportstart`	`additional.fields[sourceportstart]`
`tz`	`additional.fields[tz]`
`tunnelprotocol`	`additional.fields[tunnelprotocol]`
`tunneltype`	`additional.fields[tunneltype]`
`vendorname`	`additional.fields[vendorname]`
`yyyy`	`additional.fields[yyyy]`
`spi`	`additional.fields[spi]`
`event`	`metadata.description`
`datetime`	`metadata.event_timestamp`
	`metadata.event_type`	If (the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty) and (the `destinationipstart` log field value is not empty or the `destinationip` log field value is not empty or the `destinationipend` log field value is not empty), then the `metadata.event_type` UDM field is set to `NETWORK_CONNECTION`. Else, if the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty, then the `metadata.event_type` UDM field is set to `STATUS_UPDATE`. Else, the `metadata.event_type` UDM field is set to `GENERIC_EVENT`.
`Recordtype`	`metadata.product_event_type`
`recordid`	`metadata.product_log_id`
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZSCALER_TUNNEL`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `ZSCALER`.
	`network.direction`	If the `policydirection` log field value matches the regular expression pattern `(?i)Inbound`, then the `network.direction` UDM field is set to `INBOUND`. Else, if the `policydirection` log field value matches the regular expression pattern `(?i)Outbound`, then the `network.direction` UDM field is set to `OUTBOUND`.
`protocol`	`network.ip_protocol`	If the `protocol` log field value contain one of the following values, then the `protocol` log field is mapped to the `network.ip_protocol` UDM field. `TCP` `EIGRP` `ESP` `ETHERIP` `GRE` `ICMP` `IGMP` `IP6IN4` `PIM` `UDP` `VRRP`
`rxbytes`	`network.received_bytes`
`rxpackets`	`network.received_packets`
`txbytes`	`network.sent_bytes`
`txpackets`	`network.sent_packets`
`lifetime`	`network.session_duration.seconds`
`srcipstart`	`principal.ip`
`sourceip`	`principal.ip`
`srcipend`	`principal.ip`
`location`	`principal.location.name`
`sourceport`	`principal.port`
`user`	`principal.user.userid`
`destinationipstart`	`target.ip`
`destinationip`	`target.ip`
`destinationipend'`	`target.ip`
`destinationport`	`target.port`

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。